vmware cloud director 9...importar el certificado firmado por ca correspondiente a la solicitud csr...

Guía del portal para tenants de vCloud Director

VMware Cloud Director 9.1

Puede encontrar la documentación técnica más actualizada en el sitio web de VMware:

https://docs.vmware.com/es/

Si tiene comentarios relacionados con esta documentación, envíelos a:

[email protected]

VMware, Inc.3401 Hillview Ave.Palo Alto, CA 94304www.vmware.com

VMware Spain, S.L.Calle Rafael Boti 262.ª plantaMadrid 28023Tel.: +34 914125000www.vmware.com/es

Copyright © 2020 VMware, Inc. Todos los derechos reservados. Información sobre el copyright y la marca comercial.


VMware, Inc. 2

https://docs.vmware.com/es/

mailto:[email protected]

http://pubs.vmware.com/copyright-trademark.html

Contenido

Guía del portal para tenants de vCloud Director 8

Información actualizada 9

1 Introducción al portal para tenants de vCloud Director 10Descripción general de VMware vCloud Director 10

Iniciar sesión en el portal para tenants de vCloud Director 11

Funciones y derechos del portal para tenants de vCloud Director 12

Usar el portal para tenants de vCloud Director 12

Ver tareas 13

Acceder a la consola web de vCloud Director 13

2 Trabajar con máquinas virtuales 15Arquitectura de máquina virtual 16

Ver y editar máquinas virtuales 17

Crear una nueva máquina virtual independiente 17

Encender una máquina virtual 18

Apagar una máquina virtual 19

Restablecer una máquina virtual 19

Desconectar un sistema operativo invitado 20

Encender y forzar una nueva personalización de una máquina virtual 21

Suspender una máquina virtual 21

Descartar el estado suspendido de una máquina virtual 22

Instalar VMware Tools en una máquina virtual 22

Actualizar la versión de hardware virtual de una máquina virtual 23

Editar propiedades de una máquina virtual 24

Cambiar las propiedades generales de una máquina virtual 24

Cambiar las propiedades de hardware de una máquina virtual 25

Cambiar las propiedades de personalización del SO invitado de una máquina virtual 28

Editar las propiedades avanzadas de una máquina virtual 29

Insertar medios 32

Expulsar medio 32

Trabajar con instantáneas 33

Crear una instantánea de una máquina virtual 33

Revertir una máquina virtual a una instantánea 34

Quitar una instantánea de una máquina virtual 34

Trabajar con VMware Remote Console 35

Instalar VMware Remote Console en un cliente 35

VMware, Inc. 3

Abrir una consola remota de máquina virtual 36

Abrir una consola web 36

Renovar una concesión de máquina virtual 37

Supervisar máquinas virtuales 38

Eliminar una máquina virtual 39

3 Trabajar con vApp 40Ver vApps 41

Generar una nueva vApp 41

Crear una vApp a partir de un paquete OVF 43

Abrir una vApp 44

Iniciar una vApp 44

Detener una vApp 45

Restablecer una vApp 45

Suspender una vApp 46

Descartar el estado de suspensión de una vApp 46

Editar propiedades de una vApp 47

Editar las propiedades generales de una vApp 47

Editar las propiedades avanzadas de una vApp 48

Compartir una vApp 49

Trabajar con instantáneas 50

Tomar una instantánea de una vApp 50

Revertir una vApp a una instantánea 51

Quitar una instantánea de una vApp 51

Cambiar el propietario de una vApp 52

Mover una vApp a otro centro de datos virtual 52

Copiar una vApp detenida en otro centro de datos virtual 53

Copiar una vApp encendida 54

Agregar una máquina virtual a una vApp 54

Guardar una vApp como plantilla de vApp en un catálogo 55

Descargar una vApp como un paquete OVF 57

Renovar una concesión de vApp 57

Eliminar una vApp 58

4 Administrar redes de VDC de organización 59Agregar una nueva red de centros de datos virtuales de organización 60

Editar una red de centros de datos virtuales de organización 62

Agregar direcciones IP a un grupo de direcciones IP de red de centros virtuales de organización 63

Ver las direcciones IP usadas para una red de centros de datos virtuales de organización 63

5 Capacidades de red avanzadas para tenants de vCloud Director 65


VMware, Inc. 4

Introducción a las redes avanzadas de vCloud Director 66

Configuración de firewall mediante el portal para tenants 66

Firewall de puerta de enlace Edge 68

Administrar un firewall de puerta de enlace Edge mediante el portal para tenants de vCloud Director68

Firewall distribuido 73

Habilitar el firewall distribuido en un centro de datos virtual de organización mediante el portal para tenants 74

Administrar reglas de firewall distribuido mediante el portal para tenants 75

Administrar DHCP de puerta de enlace Edge mediante el portal para tenants 79

Agregar un grupo de direcciones IP de DHCP 79

Agregar enlaces de DHCP 81

Configurar la retransmisión de DHCP para puertas de enlace Edge 83

Especificar una configuración de retransmisión de DHCP para una puerta de enlace Edge mediante el portal para tenants 83

Administrar la traducción de direcciones de red mediante el portal para tenants 85

Agregar una regla DNAT o SNAT mediante el portal para tenants 86

Configurar el enrutamiento avanzado a través del portal para tenants de vCloud Director 88

Especificar la configuración de enrutamiento predeterminada de la puerta de enlace Edge 89

Agregar una ruta estática 91

Configurar OSPF mediante el portal para tenants 92

Configurar BGP mediante el portal para tenants 95

Configurar la redistribución de rutas mediante el portal para tenants 98

Equilibrio de carga 99

Acerca del equilibrio de carga 99

Acceso seguro mediante redes privadas virtuales 112

Configurar VPN-Plus de SSL mediante el portal para tenants 113

Configurar VPN de IPsec mediante el portal para tenants 128

Configurar VPN de capa 2 mediante el portal para tenants 136

Quitar la configuración del servicio VPN de capa 2 de una puerta de enlace Edge 141

Administrar certificados SSL mediante el portal para tenants 142

Generar una solicitud de firma de certificado para una puerta de enlace Edge 143

Importar el certificado firmado por CA correspondiente a la solicitud CSR generada para una puerta de enlace Edge 145

Configurar un certificado de servicio autofirmado 146

Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL 147

Agregar una lista de revocación de certificados a una puerta de enlace Edge 148

Agregar un certificado de servicio a la puerta de enlace Edge 149

Objetos de agrupamiento personalizados 150

Crear un conjunto de direcciones IP para usarlas en las reglas de firewall y la configuración de retransmisión de DHCP 151

Crear un conjunto de direcciones MAC para utilizarlas en las reglas de firewall 152


VMware, Inc. 5

Ver los servicios disponibles para las reglas de firewall mediante el portal para tenants 153

Ver los grupos de servicios disponibles para las reglas de firewall mediante el portal para tenants153

Estadísticas y registros en el portal para tenants de vCloud Director 154

Ver estadísticas del portal para tenants 154

Habilitar el registro en el portal para tenants 155

Habilitar el acceso de la línea de comandos SSH a una puerta de enlace Edge 156

Trabajar con etiquetas de seguridad 157

Ver las etiquetas de seguridad aplicadas 158

Crear y asignar etiquetas de seguridad 158

Asignar una etiqueta de seguridad a máquinas virtuales 159

Editar una etiqueta de seguridad 160

Eliminar una etiqueta de seguridad 161

Trabajar con grupos de seguridad 161

Agregar un grupo de seguridad 162

Editar un grupo de seguridad 163

Eliminar un grupo de seguridad 164

6 Trabajar con catálogos 166Agregar un catálogo 167

Ver un catálogo 167

Compartir un catálogo 168

Eliminar un catálogo 169

7 Trabajar con plantillas de vApp 170Abrir una plantilla de vApp 170

Crear una plantilla de vApp desde un archivo OVF 171

Descargar una plantilla de vApp 172

Eliminar una plantilla de vApp 172

8 Trabajar con archivos de medios 174Cargar archivos de medios 174

Eliminar un archivo de medios 175

Descargar un archivo de medios 175

9 Trabajar con varios sitios 177Configurar y administrar implementaciones multisitio 177

10 Trabajar con Biblioteca de servicios 179Buscar un servicio 179

Ejecutar un servicio 180


VMware, Inc. 6

11 Trabajar con definiciones de entidad personalizada 181Buscar una entidad personalizada 181

Editar una definición de entidad personalizada 182

Agregar una definición de entidad personalizada 182

Instancias de entidades personalizadas 183

Asociar una acción a una entidad personalizada 184

Anular la asociación de una acción de una entidad personalizada 185

Publicar una entidad personalizada 186

Eliminar una entidad personalizada 186


VMware, Inc. 7


La Guía del portal para tenants de VMware vCloud Director proporciona información acerca de cómo utilizar el portal para tenants de VMware vCloud Director. En esta versión, el portal para tenants se utiliza para configurar máquinas virtuales, vApps y capacidades de redes. También se pueden configurar capacidades de redes avanzadas disponibles en esta versión de VMware vCloud Director. VMware NSX® for vSphere® proporciona estas capacidades de redes avanzadas en un entorno de vCloud Director.

Público objetivoEsta guía está destinada a quienes deseen utilizar las capacidades que se ofrecen en el portal para tenants. La información se escribe principalmente para los administradores de organización que utilizarán el portal para tenants para administrar máquinas virtuales, vApps, redes y capacidades de redes para las redes de vApps y las redes de centros de datos virtuales de organización.

Documentación relacionadaConsulte la Guía del usuario de vCloud Director para obtener información sobre las funciones y las capacidades disponibles para los administradores de organización mediante la consola web de vCloud Director en lugar de con el portal para tenants de vCloud Director.

Glosario de publicaciones técnicas de VMwareEl departamento de Publicaciones técnicas de VMware proporciona un glosario de términos con los que puede no estar familiarizado. Para ver las definiciones de los términos que se utilizan en la documentación técnica de VMware, visite http://www.vmware.com/support/pubs.

VMware, Inc. 8

http://www.vmware.com/support/pubs

Información actualizada

Esta guía del portal para tenants de vCloud Director se actualiza con cada nueva versión del producto o cuando resulta necesario.

La siguiente tabla muestra el historial de actualizaciones de la guía del portal para tenants de vCloud Director.

Revisión Descripción

16 de abril de 2019 Se eliminó el tema Acceder a varios sitios.

28 de noviembre de 2018 Se actualizó el tema Actualizar la versión de hardware virtual de una máquina virtual para proporcionar información acerca de las versiones de hardware virtual compatibles.

02 NOV 2018 Actualizaciones secundarias.

26 de julio de 2018 Actualizaciones en los pasos del capítulo Capítulo 3 Trabajar con vApp.

13 de julio de 2018 n Correcciones secundarias en Ver y editar máquinas virtuales.

n Se actualizó el tema Crear una nueva máquina virtual independiente para incluir en él más información sobre la configuración de la máquina virtual que puede editarse durante la creación de una máquina virtual.

n Se corrigieron los pasos en Instalar VMware Tools en una máquina virtual.

n Actualizaciones secundarias.

8 de marzo de 2018 Versión inicial.

VMware, Inc. 9

Introducción al portal para tenants de vCloud Director 1Cuando se inicia sesión en el portal para tenants, se pueden completar una serie de tareas, como la creación de máquinas virtuales y vApps, o la configuración de ajustes de redes avanzadas y la ejecución de flujos de trabajo de vRealize Orchestrator.

Este capítulo incluye los siguientes temas:

n Descripción general de VMware vCloud Director

n Iniciar sesión en el portal para tenants de vCloud Director

n Usar el portal para tenants de vCloud Director

n Ver tareas

n Acceder a la consola web de vCloud Director

Descripción general de VMware vCloud DirectorVMware® vCloud Director proporciona acceso basado en funciones a un portal para tenants con base en web que permite a los miembros de una organización interactuar con los recursos de esta para crear vApps y máquinas virtuales, así como para trabajar con ellas.

Antes de poder acceder a la organización, un administrador del sistema de vCloud Director debe crear la organización, asignar recursos a ella y proporcionar la dirección URL para acceder al portal para tenants. Cada organización incluye uno o varios administradores de organización, los cuales finalizan la configuración de la organización agregando miembros y definiendo políticas y preferencias. Tras configurar la organización, los usuarios que no son administradores puede iniciar sesión pueden crear, usar y administrar máquinas virtuales y las vApp.

OrganizacionesUna organización es una unidad de administración de un grupo de usuarios, grupos y recursos informáticos. Los usuarios se autentican a nivel de organización, proporcionando las credenciales establecidas por un administrador de la organización al crear o importar el usuario. Los administradores del sistema crean y aprovisionan organizaciones, mientras que los administradores de la organización gestionan los usuarios, grupos y catálogos de la organización.

VMware, Inc. 10

Usuarios y gruposUna organización puede contener un número arbitrario de usuarios y grupos. El administrador de organización puede crear usuarios localmente o puede importarlos de un servicio de directorios como LDAP o vSphere Single Sign-On. Los grupos se deben importar desde un servicio de directorios. Los permisos dentro de una organización se controlan mediante la asignación de derechos y funciones a usuarios y grupos.

Centros de datos virtualesUn centro de datos virtual de organización proporciona recursos a una organización. Los centros de datos virtuales de organización proporcionan un entorno donde se pueden almacenar, implementar y manejar sistemas virtuales. También proporcionan almacenamiento para medios virtuales de CD y DVD. Una organización puede tener varios centros de datos virtuales.

Redes de centros de datos virtuales de organizaciónUna red de centros de datos virtuales de organización se ubica dentro de un centro de datos virtual de organización de vCloud Director y se encuentra disponible para todas las vApps de la organización. Una red de centros de datos virtuales de organización permite que las vApps de una organización se comuniquen entre sí. Una red de centros de datos virtuales de organización puede estar conectada a una red externa o estar aislada y ser interna de la organización. Solo los administradores del sistema pueden crear redes de centros de datos virtuales de organización, pero los administradores de organización pueden administrar las redes de centros de datos virtuales de organización, incluidos los servicios de red que proporcionan.

Redes de vAppUna red de vApp forma parte de una vApp y permite que las máquinas virtuales de la vApp se comuniquen entre sí. Puede conectar una red de vApp a una red de centros de datos virtuales de organización para permitir que la vApp se comunique con otras vApps dentro y fuera de la organización, si la red de centros de datos virtuales de organización está conectada a una red externa.

CatálogosLas organizaciones pueden utilizar catálogos para almacenar plantillas de vApp y archivos de medios. Los miembros de una organización que tienen acceso a un catálogo pueden utilizar sus plantillas de vApp y archivos de medios para crear sus propias vApps. Los administradores de organización pueden copiar elementos de catálogos públicos en los catálogos de su organización.

Iniciar sesión en el portal para tenants de vCloud DirectorPuede acceder al portal para tenants de vCloud Director mediante una dirección URL específica de su organización.


VMware, Inc. 11

Si desconoce la dirección URL del portal para tenants de la organización, comuníquese con el administrador de la organización. Consulte las Notas de la versión de vCloud Director para obtener información sobre los navegadores y las configuraciones compatibles.

Procedimiento

1 Escriba la dirección URL del portal para tenants de la organización en un navegador y presione Entrar.

Por ejemplo, escriba https://vcloud.example.com/tenant/myOrg.

2 Introduzca el nombre de usuario y la contraseña, y luego haga clic Iniciar sesión.

Funciones y derechos del portal para tenants de vCloud DirectorvCloud Director incluye un conjunto configurado previamente de funciones de usuario y derechos. Las funciones que pueden acceder al portal para tenants de vCloud Director son las creadas de forma predeterminada en cualquier organización, o bien aquellas funciones creadas por el administrador de organización.

Los usuarios a los que se les asignan las siguientes funciones de organización pueden acceder al portal para tenants. Los elementos que se ven y las acciones que se pueden realizar dependen de los derechos asociados a una función determinada.

n Administrador de organización

n Autor de catálogo

n Autor de vApp

n Usuario de vApp

n Solo acceso a la consola

Para obtener más información acerca de las funciones y los derechos de vCloud Director, consulte la sección correspondiente a las funciones predefinidas y sus derechos.

Usar el portal para tenants de vCloud DirectorCuando inicia sesión en el portal para tenants de vCloud Director, se le dirige a la pantalla del panel Centros de datos virtuales.

La pantalla del panel Centros de datos virtuales forma parte de la función de multisitio de vCloud Director que permite a los tenants ver el entorno en la nube distribuido geográficamente como una sola entidad. Para obtener más información acerca de la función de multisitio, consulte Capítulo 9 Trabajar con varios sitios.

El panel es una vista unificada de los sitios y los centros de datos virtuales de organización de vCloud Director para una sola organización.

Nota En función de los derechos, los usuarios del tenant pueden ver todos los sitios miembros de una organización o solo un subconjunto de sitios.


VMware, Inc. 12

Los centros de datos virtuales se muestran en una vista de tarjetas. Cada tarjeta contiene información sobre el número de vApps, el número total de máquinas virtuales y el número de máquinas virtuales que están en estado de ejecución. La tarjeta también muestra la capacidad de CPU, memoria y almacenamiento disponible para el centro de datos y específica métricas en tiempo real sobre las asignaciones y las reservas de recursos actuales.

En el menú principal ( ), puede desplazarse hasta las diferentes opciones del menú.

Opción de menú Descripción

Centros de datos Dirige a la pantalla Centros de datos virtuales donde se muestran los centros de datos virtuales dentro de la organización.

Bibliotecas de contenido Le dirige a una vista consolidada de plantillas de vApp, catálogos, medios y otros tipos de archivos. Utilice estas plantillas y archivos para implementar máquinas virtuales o vApps.

Administración Le dirige a la pantalla de administración de multisitio, en la que los administradores de organización pueden crear una asociación de confianza con otra organización.

Operaciones Le dirige a la pantalla Biblioteca de servicios. Biblioteca de servicios contiene grupos de componentes de vCloud Director para los que puede ejecutar flujos de trabajo de vRealize Orchestrator.

Ver tareasEn el portal para tenants, puede ver las tareas recientes y el estado de estas.

La vista de tareas es útil para ver el estado de las tareas en el portal para tenants de un vistazo. La vista muestra cuándo se han ejecutado las tareas y si estas se realizaron correctamente. Esta herramienta puede utilizarse para dar un buen primer paso para solucionar los problemas del entorno.

Los recuadros informativos azules y rojos sobre el icono Tareas muestran, respectivamente, el número de tareas ejecutadas y con errores.

Procedimiento

u En el menú de la parte superior derecha, seleccione el icono Tareas ( ).

Resultados

Se muestra una lista de las tareas recientes junto con la hora a la que se ha ejecutado la tarea y el estado de esta.

Acceder a la consola web de vCloud DirectorEn esta versión, el portal para tenants no proporciona todas las funciones disponibles en la consola web de vCloud Director. El portal para tenants permite abrir la consola web para poder acceder fácilmente a dichas funciones.


VMware, Inc. 13

Las funciones que solo están disponibles en la consola web de vCloud Director incluyen:

n Reglas de afinidad. Puede crear y administrar reglas de afinidad en la consola web de vCloud Director.

n La administración de usuarios y funciones solo está disponible en la consola web de vCloud Director.

Procedimiento

1 En la pantalla del panel Centros de datos virtuales, haga clic en la tarjeta del centro de datos virtual que desea explorar.

2 En las pestañas vApps o Máquinas virtuales, haga clic en Consultar esta página en la consola web de vCloud Director.

Resultados

La consola web de vCloud Director se abre y le lleva hasta la página Inicio de la organización.


VMware, Inc. 14

Trabajar con máquinas virtuales 2Una máquina virtual es un equipo con software que, al igual que un equipo físico, ejecuta un sistema operativo y aplicaciones. La máquina virtual está compuesta por un conjunto de archivos de configuración y especificaciones. Además, cuenta con el respaldo de los recursos físicos de un host. Todas las máquinas virtuales tienen dispositivos virtuales que ofrecen la misma funcionalidad que un hardware físico, pero son más portátiles, más seguras y más fáciles de administrar.

Además de los tipos de operaciones que se pueden ejecutar en una máquina física, las máquinas virtuales de vCloud Director admiten operaciones de infraestructura virtual, como crear una instantánea del estado de una máquina virtual y mover una máquina virtual de un host a otro.


n Arquitectura de máquina virtual

n Ver y editar máquinas virtuales

n Crear una nueva máquina virtual independiente

n Encender una máquina virtual

n Apagar una máquina virtual

n Restablecer una máquina virtual

n Desconectar un sistema operativo invitado

n Encender y forzar una nueva personalización de una máquina virtual

n Suspender una máquina virtual

n Descartar el estado suspendido de una máquina virtual

n Instalar VMware Tools en una máquina virtual

n Actualizar la versión de hardware virtual de una máquina virtual

n Editar propiedades de una máquina virtual

n Insertar medios

n Expulsar medio

n Trabajar con instantáneas

n Trabajar con VMware Remote Console

VMware, Inc. 15

n Renovar una concesión de máquina virtual

n Supervisar máquinas virtuales

n Eliminar una máquina virtual

Arquitectura de máquina virtualUna máquina virtual puede existir como una máquina independiente o dentro de una vApp.

Una máquina virtual es un equipo con software que, al igual que un equipo físico, ejecuta un sistema operativo y aplicaciones. La máquina virtual está compuesta por un conjunto de archivos de configuración y especificaciones. Además, cuenta con el respaldo de los recursos físicos de un host. Todas las máquinas virtuales tienen dispositivos virtuales que ofrecen la misma funcionalidad que un hardware físico, pero son más portátiles, más seguras y más fáciles de administrar. Las máquinas virtuales pueden ser independientes o estar dentro de una vApp. Una vApp es un objeto compuesto que consta de una o varias máquinas virtuales, así como de una o varias redes.

La figura siguiente muestra las distintas opciones para crear una máquina virtual. Puede crear una máquina virtual independiente. En este caso, la máquina virtual se conecta directamente con el centro de datos virtual de organización. También puede crear una máquina virtual dentro de una vApp. Al crear una máquina virtual dentro de una vApp, puede agrupar varias máquinas virtuales y sus redes asociadas. Las vApps le permiten generar aplicaciones complejas y guardarlas en un catálogo para su uso posterior.

Figura 2-1. Las máquinas virtuales son independientes o se encuentran dentro de una vApp

Máquinas virtuales sin vApp

Instancia de

Red de vApp

Red de vApp

Red de vApp

vApp

Red externa

InternetPuerta de enlace Edge

(instancia de Edge de organización)

Red de VDC de organización

Edge de vApp


VMware, Inc. 16

Ver y editar máquinas virtualesPuede ver las máquinas virtuales independientes o que forman parte de una vApp. Puede ver las máquinas virtuales en una vista de cuadrícula o en una vista de tarjetas.

Requisitos previos

El administrador debe haber creado las máquinas virtuales.

Procedimiento

1 Decida si desea ver máquinas virtuales en vApps o ver máquinas virtuales independientes.

a En el campo Buscar en, seleccione Todas las MV, MV independientes o MV en vApps.

El subconjunto de máquinas virtuales se muestra en una vista de tarjetas.

2 Vea la lista como una vista de cuadrícula ( ) o como una vista de tarjetas ( ).

La lista de máquinas virtuales se muestra en una cuadrícula o como una lista de tarjetas.

3 (Opcional) Configure la vista de cuadrícula para que contenga los elementos que desea ver.

a En la vista de cuadrícula, seleccione el icono de editor de cuadrícula ( ). El icono de editor de cuadrícula se muestra debajo de la lista de máquinas virtuales.

b Seleccione los elementos que desea incluir en la vista de cuadrícula haciendo clic en la casilla de verificación junto al elemento (por ejemplo, hardware, versión, etc.).

c Cuando esté satisfecho, haga clic en Aceptar.

La cuadrícula muestra los elementos seleccionados para cada máquina virtual.

4 (Opcional) En la vista de cuadrícula, use la barra de listas ( ) para mostrar las acciones que puede realizar en cada máquina virtual.

Por ejemplo, puede apagar una máquina virtual. La barra de listas se encuentra a la izquierda de cada máquina virtual.

5 Para acceder a la interfaz del sistema operativo invitado de la máquina virtual, haga clic en el icono de escritorio en la esquina superior derecha de la vista de tarjetas.

Crear una nueva máquina virtual independientePuede crear una nueva máquina virtual independiente.

Procedimiento


La lista de máquinas virtuales se muestra en una vista de cuadrícula.


VMware, Inc. 17




3 Haga clic en Crear MV.

4 Introduzca el nombre y el nombre del equipo de la máquina virtual.

Importante El nombre del equipo solo puede contener caracteres alfanuméricos y no puede estar compuesto únicamente de dígitos.

5 Seleccione el centro de datos virtual que desea asociar con la máquina virtual.

6 Seleccione si desea que la máquina virtual se encienda inmediatamente después de crearse.

7 (opcional) Introduzca una descripción significativa.

8 Seleccione cómo desea implementar la máquina virtual.

Opción Acción

Nuevo Implementa una nueva máquina virtual con una configuración personalizable.

a Seleccione una familia de sistema operativo y un sistema operativo.

b (Opcional) Seleccione una imagen de arranque.

c Seleccione el tamaño de la máquina virtual o haga clic en Personalizar para especificar manualmente la configuración de recursos informáticos, memoria y almacenamiento.

El tamaño de la máquina virtual puede ser pequeño, mediano o grande.

d Especifique la configuración de red para la máquina virtual, como red, modo de IP, dirección IP y NIC primario.

A partir de plantilla Implementa una máquina virtual a partir de una plantilla seleccionada del catálogo de plantillas.

9 Haga clic en Aceptar para guardar la configuración de la máquina virtual e iniciar el proceso de

creación.

Puede ver la tarjeta de la máquina virtual en el catálogo. Hasta que se cree la máquina virtual, su estado se mostrará como Ocupada.

Encender una máquina virtualEncender una máquina virtual equivale a encender una máquina física.

No se puede encender máquinas virtuales que tengan habilitada la personalización de invitado, a menos que dichas máquinas tengan una versión actualizada de VMware Tools instalada.

Requisitos previos

Una máquina virtual debe estar apagada.


VMware, Inc. 18

Procedimiento






3 Seleccione la máquina virtual que desea iniciar.

4 En el menú Alimentación, seleccione Encender.

Resultados

Una máquina virtual encendida se muestra con el estado Encendido en color verde.

Apagar una máquina virtualApagar una máquina virtual equivale a apagar una máquina física.

Requisitos previos

La máquina virtual debe estar encendida.

Procedimiento






3 Seleccione la máquina virtual que desea apagar.

4 En el menú Alimentación, seleccione Apagar.

Resultados

Una máquina virtual apagada se muestra con el estado Apagado en color rojo.

Restablecer una máquina virtualAl restablecer una máquina virtual, se borra el estado (memoria, caché, etc.), pero la máquina virtual sigue en ejecución. Restablecer una máquina virtual equivale a presionar el botón de restablecimiento en


VMware, Inc. 19

una máquina física. Inicia un restablecimiento completo del sistema operativo sin cambiar el estado de encendido de la máquina virtual.

Requisitos previos

Debe haberse iniciado la vApp y la máquina virtual debe estar encendida.

Procedimiento






3 Seleccione la máquina virtual que desea restablecer.

4 En el menú Alimentación, seleccione Restablecer.

Resultados

Se borrará el estado de la máquina virtual.

Desconectar un sistema operativo invitadoApagar un sistema operativo invitado equivale a apagar una máquina física.

Requisitos previos

El sistema operativo invitado debe estar encendido.

Procedimiento






3 Seleccione la máquina virtual en la que desea desconectar el SO invitado.

4 En el menú Alimentación, seleccione Desconectar SO invitado.

Resultados

El SO invitado se desconectará.


VMware, Inc. 20

Encender y forzar una nueva personalización de una máquina virtualPuede encender una máquina virtual y, al mismo tiempo, forzar que se vuelva a personalizar.

Requisitos previos

La máquina virtual debe estar apagada.

Procedimiento






3 Seleccione la máquina virtual que desea encender y personalizar.

4 En el menú Alimentación, seleccione Encender y forzar volver a personalizar.

Resultados

La máquina virtual se volverá a personalizar y se encenderá.

Suspender una máquina virtualLa suspensión de una máquina virtual conserva su estado actual escribiendo la memoria en el disco.

La función para suspender y reanudar es útil cuando se desea guardar el estado actual de una máquina virtual y reanudar el trabajo más tarde con el mismo estado.

Requisitos previos

La máquina virtual debe estar encendida.

Procedimiento






3 Seleccione la máquina virtual que desea suspender.


VMware, Inc. 21

4 En el menú Alimentación, seleccione Suspender.

Resultados

La máquina virtual se suspenderá, pero se conservará su estado.

Descartar el estado suspendido de una máquina virtualSi tiene una máquina virtual en estado de suspensión y ya no se necesita reanudar el uso de la máquina, puede descartar el estado de suspensión. Al descartar el estado de suspensión, se elimina la memoria guardada y las máquinas vuelven a un estado de apagado.

Requisitos previos

Debe haber una máquina virtual suspendida.

Procedimiento






3 Seleccione la máquina virtual para la que desea descartar el estado.

4 Haga clic en Más > Descartar estado de suspensión.

Resultados

El estado se descartará.

Instalar VMware Tools en una máquina virtualvCloud Director depende de VMware Tools para personalizar un SO invitado.

Requisitos previos

n La máquina virtual debe estar encendida.

n Si una máquina virtual creada recientemente no tiene sistema operativo invitado, debe instalarlo antes para poder instalar VMware Tools.

n La personalización de invitado debe estar deshabilitada antes de instalar VMware Tools.

n Si la versión de VMware Tools es anterior a 7299 en una máquina virtual de una vApp, debe actualizarla.


VMware, Inc. 22

Procedimiento






3 Seleccione la máquina virtual en la que desea instalar VMware Tools.

4 En el menú Más, seleccione Instalar VMware Tools.

VMware Tools se instala en el sistema operativo invitado de destino. Si se produce un error durante la instalación, se muestra un mensaje de error. También puede consultar el progreso de la operación de instalación en la ventana Tareas.

5 En el menú Más, seleccione Iniciar la consola web para abrir la consola web de la máquina virtual.

6 Siga las instrucciones en el artículo 1014294 de la Base de conocimientos de VMware para configurar VMware Tools para su sistema operativo específico.

Resultados

VMware Tools está instalado y configurado en el sistema operativo invitado.

Actualizar la versión de hardware virtual de una máquina virtualPuede actualizar la versión de hardware virtual de una máquina virtual. Las versiones posteriores de hardware virtual admiten más funciones.

No se puede cambiar a una versión anterior de hardware de las máquinas virtuales de una vApp.

VMware vCloud Director es compatible con máquinas virtuales versión de hardware 4, versión de hardware 7, versión de hardware 8, versión de hardware 9, versión de hardware 10, versión de hardware 11, versión de hardware 12 y versión de hardware 13 en función de los recursos que respaldan los centros de datos virtuales de la organización.

Requisitos previos

n Detenga la vApp.

n Verifique que la versión más reciente de VMware Tools esté instalada en las máquinas virtuales.

Procedimiento




VMware, Inc. 23

https://kb.vmware.com/s/article/1014294




3 Seleccione la máquina virtual que desea actualizar.

4 En el menú Más, seleccione Actualizar versión de hardware virtual.

5 Haga clic en Aceptar.

Resultados

La máquina virtual se actualizará a la versión más reciente.

Editar propiedades de una máquina virtualPuede editar las propiedades de una máquina virtual, como el nombre y la descripción de la máquina virtual, la configuración de la CPU y la memoria y los ajustes del entorno OVF.

Cambiar las propiedades generales de una máquina virtualPuede revisar y cambiar el nombre, descripción y otras propiedades generales de una máquina virtual.

Requisitos previos

Compruebe que la máquina virtual esté apagada.

Procedimiento






3 En la tarjeta de la máquina virtual que desea editar, haga clic en Detalles.

4 Haga clic en el menú General para cambiar las propiedades.

Opción Descripción

Nombre de máquina virtual Se muestra el nombre de la máquina virtual.

Nombre de equipo Escriba el nombre del equipo o host establecido en el sistema operativo invitado que identifica la máquina virtual en una red. Este campo está restringido a 15 caracteres debido a la limitación del SO Windows en los nombres de equipo.

Descripción Escriba una descripción opcional de las máquinas virtuales.

Familia del sistema operativo Seleccione la familia de sistema operativo en el menú desplegable.


VMware, Inc. 24


Sistema operativo Seleccione un sistema operativo en el menú desplegable.

Retardo de inicio Puede transcurrir poco tiempo entre el momento en que la máquina virtual se enciende y en el que sale de BIOS e inicia el software del sistema operativo invitado. Puede cambiar el retraso de arranque para proporcionar más tiempo. Seleccione el tiempo en milisegundos para retrasar la operación de arranque.

Directiva de almacenamiento Seleccione en el menú desplegable una directiva de almacenamiento para utilizarla en la máquina virtual.

Centro de datos virtuales Se muestra el nombre del centro de datos virtual.

VMware Tools Compruebe si VMware Tools está instalado en la máquina virtual.

Versión del hardware virtual Versión del hardware virtual de la máquina virtual.

Actualizar a: Para actualizar, seleccione una versión del menú desplegable.

Hora de inicio de la sincronización Active esta casilla de verificación para habilitar la sincronización de la hora entre el sistema operativo invitado de la máquina virtual y el centro de datos virtual en el que se está ejecutando.

Introducir configuración de BIOS Seleccione si desea forzar la entrada a la pantalla de configuración de BIOS la próxima vez que arranque la máquina virtual.

5 Haga clic en Guardar para confirmar los cambios.

Cambiar las propiedades de hardware de una máquina virtualPuede revisar y cambiar la configuración de hardware de una máquina virtual.

Requisitos previos

Compruebe que la máquina virtual esté apagada.

Procedimiento








VMware, Inc. 25

4 Haga clic en el menú Hardware para expandir la lista de propiedades de hardware.


Número de CPU virtuales Edite el número de CPU existentes.

El número máximo de CPU virtuales que puede asignar a una máquina virtual depende del número de CPU lógicas en el host y el tipo de sistema operativo invitado que está instalado en la máquina virtual.

Núcleos por socket Edite los núcleos por socket.

Puede configurar el modo en que las CPU virtuales se asignan desde el punto de vista de núcleos y núcleos por socket. Determine la cantidad de núcleos de CPU que desea que tenga la máquina virtual y, a continuación, seleccione la cantidad de núcleos que desea para cada socket, en función de si desea una CPU de un solo núcleo, una CPU de dos núcleos, una CPU de tres núcleos, etc.

Exponer virtualización de CPU asistida por hardware en SO invitado

Puede exponer la virtualización de CPU completa al sistema operativo invitado para que las aplicaciones que requieran virtualización de hardware puedan ejecutarse en máquinas virtuales sin paravirtualización ni traducción de binarios.

Memoria total Edite la configuración de recursos de memoria de una máquina virtual.

Esta opción determina la cantidad de memoria del host ESXi que se asigna a la máquina virtual. El tamaño de la memoria de hardware virtual determina la cantidad de memoria que hay disponible para las aplicaciones que se ejecutan en la máquina virtual. Una máquina virtual no puede beneficiarse de más recursos de memoria que el tamaño de memoria de hardware virtual que se ha configurado.

Agregado en caliente de la memoria Si habilita el agregado en caliente de memoria, es posible agregar recursos de memoria a una máquina virtual mientras esta está encendida. Esta función solo se admite en determinados sistemas operativos invitados y versiones de hardware de máquinas virtuales superiores a la 7.

Agregado en caliente de la CPU virtual

Si habilita el agregado en caliente de CPU virtual, es posible agregar CPU virtuales a la máquina virtual mientras esta está encendida. Solo puede agregar múltiplos del número de núcleos por socket. Esta función solo la admiten ciertos sistemas operativos invitados y versiones de hardware de máquinas virtuales.

Número de sockets Observe el número de sockets.

El número de sockets se determina en función del número de CPU virtuales disponibles. El número cambia cuando se actualiza la cantidad de CPU virtuales.

Medios extraíbles Observe los medios extraíbles disponibles, como la unidad de CD/DVD y de disquete conectada.

5 En Discos duros, haga clic en AGREGAR para agregar un disco duro e introduzca la siguiente

información.


Tamaño Introduzca el tamaño del disco duro en MB.

Política Se utiliza la política de almacenamiento de la máquina virtual. Puede anular esta selección.

Tipo de bus Seleccione el tipo de bus.

Las opciones son Paravirtual (SCSI), LSI Logic paralelo (SCSI), LSI Logic SAS (SCSI), IDE y SATA.


VMware, Inc. 26


Número de bus Escriba el número de bus.

Número de unidad Introduzca el número de unidad lógica de la unidad de disco duro. De manera predeterminada, todos los discos duros adjuntados a una máquina virtual usan la directiva de almacenamiento especificada para esta. Puede reemplazar este valor predeterminado para cualquiera de estos discos cuando crea una máquina virtual o modifica sus propiedades. La columna Tamaño de cada disco duro incluye un menú desplegable que enumera todas las políticas de almacenamiento disponibles para esta máquina virtual.

6 En NIC, haga clic en AGREGAR e introduzca la siguiente información.

Puede añadir hasta 10 NIC. Para obtener información sobre el número de NIC admitidas en función de la versión de hardware de la máquina virtual, consulte: http://kb.vmware.com/s/article/2051652. vCloud Director admite la modificación de las NIC de máquina virtual mientras esta se está ejecutando. Para obtener información sobre los tipos de adaptador de red admitidos, consulte http://kb.vmware.com/kb/1001805.


NIC primario Se muestra una marca cuando se selecciona el NIC primario.

Seleccione un NIC primario. La configuración del NIC primario determina la puerta de enlace predeterminada y única de la máquina virtual. La máquina virtual puede usar cualquier NIC para conectarse a máquinas virtuales y físicas que estén conectadas directamente a la misma red que el NIC, pero solo puede usar el NIC primario para conectarse a máquinas de redes que requieran una conexión de puerta de enlace.

NIC Número de la NIC.

Conectado Active la casilla de verificación para conectar una NIC.

Red Seleccione una red en el menú desplegable.

Modo de IP Seleccione un modo de IP:

n Estática - Grupo de direcciones IP

Extrae una dirección IP estática del grupo de direcciones IP de red.

n Estática - Manual

Le permite especificar una dirección IP concreta de forma manual. Si selecciona esta opción, escriba una dirección IP.

n DHCP

Extrae una dirección IP de un servidor DHCP.

Dirección MAC Escriba la dirección MAC de la interfaz de red.

7 Una vez que termine de aplicar los cambios, haga clic en Guardar.


VMware, Inc. 27




Cambiar las propiedades de personalización del SO invitado de una máquina virtualLa personalización del SO invitado en vCloud Director es opcional en todas las plataformas. Es necesaria para las máquinas virtuales que deben unirse a un dominio de Windows.

Parte de la información solicitada en este menú se aplica solo a las plataformas de Windows. La pestaña Personalización de SO invitado incluye la información necesaria para que la máquina virtual se una a un dominio de Windows. Un administrador de organización puede especificar valores predeterminados para un dominio al cual los invitados de Windows de la organización se pueden unir. No todas las máquinas virtuales de Windows deben unirse a un dominio, pero, en la mayoría de las instalaciones empresariales, una máquina virtual que no pertenezca a un dominio no podrá acceder a muchos recursos de red.

Requisitos previos

n Esta operación requiere los derechos incluidos en la función Autor de vApp predefinida o un conjunto equivalente de derechos.

n Para realizar la personalización del invitado, es necesario que la máquina virtual ejecute VMware Tools.

n Antes de personalizar un SO invitado de Windows, el administrador del sistema debe instalar los archivos de Microsoft Sysprep adecuados en el grupo de servidores de vCloud Director. Consulte la Guía de instalación y actualización de vCloud Director.

n Para la personalización de sistemas operativos invitados Linux, es necesario que Perl esté instalado en el invitado.

Procedimiento








VMware, Inc. 28

4 Haga clic en el menú Personalización y propiedades del SO invitado, cambie las propiedades y haga clic en Guardar.


Habilitar personalización de invitado Seleccione esta opción para habilitar la personalización de invitado.

Cambiar SID (opcional) Esta opción solo está disponible para máquinas virtuales que ejecutan un sistema operativo invitado de Windows. En algunos sistemas operativos de Windows, se usa un identificador de seguridad de Windows (SID) para identificar de manera exclusiva los sistemas y los usuarios. Si no selecciona esta opción, la nueva máquina virtual tendrá el mismo SID que la máquina virtual o la plantilla que se tomó como base. Los SID duplicados no causan problemas cuando los equipos forman parte de un dominio y solo se usan cuentas de usuario de dominio. No obstante, si los equipos forman parte de un grupo de trabajo o se usan cuentas de usuario locales, los SID duplicados pueden perjudicar los controles de acceso a los archivos. Para obtener más información, consulte la documentación de su sistema operativo Microsoft Windows.

Solicitar al administrador que cambie la contraseña la primera vez que inicie sesión (opcional)

Seleccione esta opción para solicitar a los administradores que cambien la contraseña al iniciar sesión por primera vez en el sistema operativo invitado. Por motivos de seguridad, se recomienda utilizar esta opción.

Permitir contraseña del administrador local (opcional)

Seleccione esta opción para permitir la configuración de una contraseña de administrador en el sistema operativo invitado.

Especificar contraseña Permite especificar una contraseña para el administrador local. Si deja esta opción en blanco, se generará una contraseña de forma automática.

Número de veces que se puede iniciar sesión automáticamente

Permite especificar el número de veces que se permitirá el inicio de sesión automático. Si introduce cero, se deshabilita el inicio de sesión automático como administrador.

Habilitar esta máquina virtual para que se una a un dominio (opcional)

Haga clic en Habilitar esta máquina virtual para que se una a un dominio para que la máquina virtual se una a un dominio de Windows. Puede utilizar el dominio de la organización, o bien reemplazarlo y especificar las propiedades de dominio.

Script (opcional) Haga clic en el botón de carga para desplazarse hasta un script de personalización en la máquina. El script de personalización no puede contener más de 1500 caracteres. Puede crear el script en un archivo en el equipo o escribirlo directamente en la ventana Archivo de script. Para obtener más información, consulte el artículo de la Base de conocimientos de VMware https://kb.vmware.com/kb/1026614.

Editar las propiedades avanzadas de una máquina virtualEn la configuración avanzada, puede configurar la asignación de recursos (cuotas, reserva y límite) para establecer la cantidad de recursos de CPU, memoria y almacenamiento que se proporcionan a una máquina virtual. También puede configurar los metadatos de la máquina virtual.


VMware, Inc. 29

https://kb.vmware.com/kb/1026614

https://kb.vmware.com/kb/1026614

Descripción general de asignación de recursosUtilice la configuración de asignación de recursos (cuotas, reserva y límite) para establecer la cantidad de recursos de CPU, memoria y almacenamiento que se proporcionan a una máquina virtual. Los usuarios disponen de varias opciones para asignar recursos.

n Compruebe que el centro de datos virtual proporciona cierta cantidad de memoria a la máquina virtual.

n Asegúrese de que siempre se asigne a una máquina virtual en concreto un porcentaje superior de recursos del centro de datos virtual con respecto a las otras máquinas virtuales.

n Establezca un límite máximo de recursos que se pueden asignar a una máquina virtual.

Cuotas de asignación de recursosLas cuotas indican la importancia relativa de una máquina virtual dentro de un centro de datos virtual. Si una máquina virtual tiene el doble de cuotas de un recurso que otra máquina virtual, tendrá derecho a consumir el doble de dicho recurso cuando estas dos máquinas virtuales estén compitiendo por la obtención de recursos. La disponibilidad de cuotas se suele especificar como Alta, Normal o Baja. Estos parámetros indican los valores de cuotas con una proporción de 4:2:1, respectivamente. También puede seleccionar Personalizada para asignar un número específico de cuotas (que expresa una ponderación proporcional) a cada máquina virtual. Al asignar cuotas a una máquina virtual, siempre se especifica la prioridad de dicha máquina en relación a otras máquinas virtuales encendidas.

La siguiente tabla muestra los valores predeterminados de cuotas de CPU y memoria de una máquina virtual.

Tabla 2-1.

Configuración Valores de cuotas de CPU Valores de cuotas de memoria

Alta 2000 cuotas por CPU virtual 20 cuotas por megabyte de memoria de máquina virtual configurada

Normal 1.000 cuotas por CPU virtual 10 cuotas por megabyte de memoria de máquina virtual configurada

Baja 500 cuotas por CPU virtual 5 cuotas por megabyte de memoria de máquina virtual configurada

Reserva de asignación de recursosUna reserva especifica la asignación mínima garantizada para una máquina virtual.

vCloud Director permite encender una máquina virtual solo si hay suficientes recursos no reservados para satisfacer la reserva de la máquina virtual. El centro de datos virtual garantiza dicha cantidad aunque sus recursos estén considerablemente cargados. La reserva se expresa en unidades concretas (megahercios o megabytes).

Por ejemplo, imagine que tenemos 2 GHz disponible y especifica una reserva de 1 GHz para la MV 1 y 1 GHz para la MV 2. De este modo, cada máquina virtual tendrá garantizado 1 GHz si lo necesita. No obstante, si la MV 1 solo utiliza 500 MHz, la MV 2 podrá usar 1,5 GHz.


VMware, Inc. 30

El valor predeterminado de reserva es 0. Especifique una reserva si necesita garantizar que las cantidades mínimas requeridas de CPU o memoria estén siempre disponibles para la máquina virtual.

Límite de asignación de recursosUn límite especifica el máximo de recursos de memoria y de CPU que se pueden asignar a una máquina virtual.

Un centro de datos virtual puede asignar más recursos que los de reserva a una máquina virtual, pero nunca más allá del límite, aunque existan recursos sin utilizar en el sistema. El límite se expresa en unidades concretas (megahercios o megabytes).

Los valores predeterminados de los límites de recursos de memoria y de CPU son ilimitados. Cuando el límite de memoria es ilimitado, la cantidad de memoria que se configuró para la máquina virtual durante su creación pasa a ser el límite efectivo en la mayoría de los casos.

Generalmente, no es necesario especificar un límite. Si se especifica, puede que se malgasten recursos inactivos. El sistema no permite que una máquina virtual utilice más recursos que el límite, aunque el sistema no se esté utilizando por completo y haya recursos inactivos disponibles. Especifique un límite solo cuando tenga buenas razones para hacerlo.

Agregar metadatosPuede utilizar las propiedades avanzadas para agregar metadatos acerca de la máquina virtual. Por ejemplo, puede agregar metadatos acerca de la fecha de creación o el propietario.

Cambiar las propiedades avanzadas de una máquina virtualEn la configuración avanzada, puede configurar la asignación de recursos (cuotas, reserva y límite) para establecer la cantidad de recursos de CPU, memoria y almacenamiento que se proporcionan a una máquina virtual.

Utilice la configuración de asignación de recursos (cuotas, reserva y límite) para establecer la cantidad de recursos de CPU, memoria y almacenamiento que se proporcionan a una máquina virtual.

Requisitos previos

Un centro de datos virtuales de grupo de reserva.

Procedimiento








VMware, Inc. 31

4 Haga clic en el menú Avanzado para editar la configuración de asignación de recursos.

5 Para la configuración de CPU, establezca las cuotas, la reserva y el límite de asignaciones de recursos.

6 Para la configuración de memoria, establezca las cuotas, la reserva y el límite de las asignaciones de recursos.

7 Para la configuración de metadatos, introduzca los metadatos.

Insertar mediosPuede insertar medios, como imágenes de CD/DVD, desde catálogos para utilizarlos en un sistema operativo invitado de máquina virtual. Puede instalar sistemas operativos, aplicaciones, controladores, etc.

Requisitos previos

Debe tener acceso a un catálogo con archivos de medios.

Procedimiento






3 Seleccione la máquina virtual a la que desea agregar medios.

4 En el menú Más, seleccione Insertar medios.

5 En el menú Insertar CD, seleccione el medio que desea insertar en la máquina virtual.

Expulsar medioPuede expulsar el archivo de medios cuando haya terminado de usar un CD o un DVD en la máquina virtual.

Requisitos previos

Un archivo de medios se insertó previamente en la máquina virtual.

Procedimiento




VMware, Inc. 32




3 Seleccione la máquina virtual cuyo medio desea expulsar.

4 En el menú Más, seleccione Expulsar medios.

Resultados

Se expulsará el archivo de medios.

Trabajar con instantáneasAl crear una instantánea, se guarda el estado y los datos de una máquina virtual en un momento específico. Las instantáneas no están diseñadas con el objetivo de utilizarse para períodos largos de tiempo ni en lugar de copias de seguridad de la máquina virtual.

Se recomienda utilizar una instantánea al actualizar el sistema operativo de una máquina virtual. Por ejemplo, antes de actualizar la máquina virtual, debe crear una instantánea para conservar el momento específico antes de la actualización. Si no hay problemas durante la actualización, puede quitar la instantánea, lo que confirmará los cambios realizados durante la actualización. Sin embargo, si se ha producido un problema, puede revertir a la instantánea, que restaurará el estado guardado que tenía la máquina virtual antes de la actualización.

Crear una instantánea de una máquina virtualPuede tomar una instantánea de una máquina virtual. Después de tomar la instantánea, puede revertir todas las máquinas virtuales a la instantánea más reciente o suprimir la instantánea.

Requisitos previos

Compruebe que la máquina virtual no esté conectada a un disco independiente.

Nota Las instantáneas no capturar configuraciones NIC.

Procedimiento






3 Seleccione la máquina virtual para la que desea crear una instantánea.

4 En el menú Más, seleccione Crear una instantánea.


VMware, Inc. 33

Resultados

La instantánea permite revertir todas las máquinas virtuales a la instantánea más reciente.

Revertir una máquina virtual a una instantáneaPuede restaurar una máquina virtual al estado en el que se encontraba cuando se creó la instantánea.

Requisitos previos

Compruebe que la máquina virtual tiene una instantánea.

Procedimiento






3 Seleccione la máquina virtual que desea revertir a una instantánea.

4 En el menú Más, seleccione Revertir a instantánea.

5 Haga clic en Sí.

Resultados

La máquina virtual se revertirá a la instantánea guardada.

Quitar una instantánea de una máquina virtualPuede quitar una instantánea de una máquina virtual.

Al quitar una instantánea, se elimina el estado de la máquina virtual que se conservaba y ya no es posible volver a dicho estado. Quitar una instantánea no afecta al estado actual de la máquina virtual.

Requisitos previos

Una máquina virtual con una instantánea almacenada.

Procedimiento







VMware, Inc. 34

3 Seleccione la máquina virtual para la que desea quitar la instantánea.

4 En el menú Más, seleccione Quitar instantánea.

Trabajar con VMware Remote ConsoleCon el portal para tenants de vCloud Director, es posible acceder al escritorio de una máquina virtual mediante la ejecución de una consola remota para ver esa máquina virtual. VMware Remote Console proporciona acceso a consolas de máquina virtual y admite operaciones de teclado y ratón.

Puede instalar VMware Remote Console como un cliente en la máquina local.

Para acceder a la máquina virtual, inicie una consola basada en web o abra una consola externa mediante la aplicación VMware Remote Console.

Para obtener información adicional acerca de VMware Remote Console, consulte la documentación de VMware Remote Console en https://docs.vmware.com/es/VMware-Remote-Console/index.html.

Instalar VMware Remote Console en un clienteVMware Remote Console proporciona una interacción integrada entre el usuario y el invitado en todas las máquinas virtuales aprovisionadas y administradas por vCloud Director. En esta sección se describen las tareas necesarias para instalar VMware Remote Console en Windows, Apple OS X y Linux.

Requisitos previos

Esta operación requiere los derechos incluidos en la función Usuario de vApp predefinida o un conjunto equivalente de derechos.

Procedimiento

1 Desplácese hasta la página de descargas de VMware Remote Console y seleccione el vínculo para su plataforma.

www.vmware.com/go/download-vmrc

Opcionalmente, en la pantalla del panel Centros de datos virtuales del portal para tenants de vCloud Director, haga clic en la tarjeta del centro de datos virtual que desea explorar. A continuación, seleccione una máquina virtual y haga clic en Más > Descargar VMRC.

2 Ejecute la instalación para su plataforma.

n Windows

Haga doble clic en el instalador .msi y siga las indicaciones.

n Linux

Con privilegios raíz, ejecute el instalador .bundle y siga las indicaciones.

n Mac

Haga doble clic en el archivo .dmg para abrirlo y, a continuación, haga doble clic en el icono de VMware Remote Console dentro del archivo para copiarlo en la carpeta Aplicaciones.


VMware, Inc. 35

https://docs.vmware.com/es/VMware-Remote-Console/index.html

https://www.vmware.com/go/download-vmrc

Resultados

Tras la instalación, VMware Remote Console se abre al hacer clic en los identificadores uniformes de recursos (Uniform Resource Identifiers, URI) que comienzan con el esquema vmrc://. VMware Workstation, Player y Fusion también gestionan el esquema de URI vmrc://.

Abrir una consola remota de máquina virtualPuede abrir una consola de máquina virtual con VMware Remote Console mediante el portal para tenants de vCloud Director.

Requisitos previos

n Compruebe que VMware Remote Console esté instalado en su sistema local.

n Asegúrese de que la máquina virtual seleccionada esté encendida.

n Esta operación requiere los derechos incluidos en la función Usuario de vApp predefinida o un conjunto equivalente de derechos.

Procedimiento






3 Seleccione una máquina virtual y haga clic en Más > Iniciar VM Remote Console.

Nota Si VMware Remote Console no está instalado, una ventana emergente solicitará que se instale VMware Remote Console o que utilice la consola web en su lugar.

Resultados

La consola de máquina virtual se abre como una consola remota virtual externa.

Nota Cuando se conecta a una máquina virtual de vCloud Director mediante VMware Remote Console, solo podrá interactuar con la consola (enviando Ctrl+Alt+Del). No puede realizar operaciones de dispositivos, operaciones de encendido y apagado, ni administración de configuración.

Abrir una consola webAunque no se haya instalado VMware Remote Console en el sistema local, podrá conectarse a la consola de una máquina virtual.

Requisitos previos

n Asegúrese de que la máquina virtual seleccionada esté encendida.


VMware, Inc. 36

n Esta operación requiere los derechos incluidos en la función Usuario de vApp predefinida o un conjunto equivalente de derechos.

Procedimiento






3 Seleccione una máquina virtual y haga clic en Más > Iniciar la consola web.

Resultados

La consola de máquina virtual se abrirá en una pestaña del navegador mediante VMware HTML Console SDK.

Pasos siguientes

Haga clic en cualquier parte dentro de la ventana de la consola para comenzar a utilizar el ratón, el teclado y otros dispositivos de entrada en la consola.

Nota Para obtener información sobre los teclados internacionales compatibles, consulte la documentación de VMware HTML Console SDK en https://www.vmware.com/support/developer/html-console/.

Renovar una concesión de máquina virtualSi la concesión de una máquina virtual ha caducado, puede renovarla.

Requisitos previos

Esta operación requiere los derechos incluidos en la función Administrador de la organización predefinida o un conjunto equivalente de derechos.

Procedimiento






3 Seleccione la máquina virtual que desea renovar.


VMware, Inc. 37

https://www.vmware.com/support/developer/html-console/

https://www.vmware.com/support/developer/html-console/

4 En el menú Más, seleccione Renovar concesión.

Resultados

La concesión se renovará. Puede ver el nuevo período de tiempo de concesión en el campo Concesión.

Supervisar máquinas virtualesSi el administrador de vCloud Director ha habilitado la función de supervisión de máquinas virtuales, puede ver el gráfico de supervisión en el portal para tenants.

Utilice esta función para conocer el estado de una máquina virtual determinada a lo largo del tiempo (días, semanas o meses).

Requisitos previos

Esta función solo está disponible si el administrador de vCloud Director la ha habilitado.

Procedimiento






3 Seleccione la máquina virtual que desea supervisar.

4 En el menú Más, seleccione Detalles.

5 Haga clic en el menú Gráfico de supervisión para expandir la vista.

Se muestra el gráfico de supervisión.

6 Debajo del gráfico, aparecen opciones para la supervisión de máquinas virtuales en una lista desplegable. El contenido de la lista varía según lo que elija el administrador del sistema. Es posible que vea algunas de las opciones siguientes, o bien todas ellas.


Disco aprovisionado más reciente Se especifica en KB. Elija la vista de día, semana o mes.

Promedio de lectura de disco Se especifica como un porcentaje. Elija la vista de día, semana o mes.

Promedio de escritura de disco Se especifica como un porcentaje. Elija la vista de día, semana o mes.

Promedio de uso de CPU Se especifica como un porcentaje. Elija la vista de día, semana o mes.

Promedio de uso de CPU en MHz Se especifica en MHz. Elija la vista de día, semana o mes.

Uso máximo de CPU Se especifica como un porcentaje. Elija la vista de día, semana o mes.


VMware, Inc. 38


Promedio de uso de memoria Se especifica como un porcentaje. Elija la vista de día, semana o mes.

Disco usado más reciente Se especifica en KB. Elija la vista de día, semana o mes.

7 Seleccione distintas opciones para mostrar los valores en el gráfico. También puede cambiar el período de tiempo que se muestra en el gráfico.

Se mostrará un nuevo gráfico cada vez que seleccione un valor diferente de la lista.

Eliminar una máquina virtualPuede eliminar una máquina virtual de una organización.

Requisitos previos

La máquina virtual debe estar apagada.

Procedimiento






3 Seleccione la máquina virtual que desea eliminar.

4 En el menú Más, seleccione Eliminar.

Resultados

Se eliminará la máquina virtual.


VMware, Inc. 39

Trabajar con vApp 3Una vApp consta de una o varias máquinas virtuales que se comunican en una red y utilizan recursos y servicios en un entorno implementado. Una vApp puede contener varias máquinas virtuales.


n Ver vApps

n Generar una nueva vApp

n Crear una vApp a partir de un paquete OVF

n Abrir una vApp

n Iniciar una vApp

n Detener una vApp

n Restablecer una vApp

n Suspender una vApp

n Descartar el estado de suspensión de una vApp

n Editar propiedades de una vApp

n Trabajar con instantáneas

n Cambiar el propietario de una vApp

n Mover una vApp a otro centro de datos virtual

n Copiar una vApp detenida en otro centro de datos virtual

n Copiar una vApp encendida

n Agregar una máquina virtual a una vApp

n Guardar una vApp como plantilla de vApp en un catálogo

n Descargar una vApp como un paquete OVF

n Renovar una concesión de vApp

n Eliminar una vApp

VMware, Inc. 40

Ver vAppsPuede ver las vApps en una vista de cuadrícula o en una vista de tarjetas.

Requisitos previos

El administrador debe haber creado las vApps.

Procedimiento


a En el panel de la izquierda, seleccione vApps.

El subconjunto de vApps se muestra en una vista de tarjetas.

2 Vea la lista como una vista de cuadrícula ( ) o como una vista de tarjetas ( ).

La lista de vApps se muestra en una cuadrícula o como una lista de tarjetas.


a En la vista de cuadrícula, seleccione el icono de editor de cuadrícula ( ). El icono de editor de cuadrícula aparece debajo de la lista de vApps.

b Seleccione los elementos que desea incluir en la vista de cuadrícula. Para ello, haga clic en la casilla de verificación junto al elemento (por ejemplo, hardware, versión, etc.).


La cuadrícula muestra los elementos seleccionados para cada vApp.

4 (Opcional) En la vista de cuadrícula, use la barra de listas ( ) para mostrar las acciones que puede realizar en cada máquina virtual (por ejemplo, desconectar una vApp). La barra de listas se muestra a la izquierda de cada vApp.

Generar una nueva vAppEn lugar de crear una vApp basada en una plantilla de vApp, puede crear una vApp nueva utilizando máquinas virtuales a partir de plantillas de vApp, máquinas virtuales nuevas o una combinación de ambas.

Requisitos previos

Esta operación requiere los derechos incluidos en la función Autor de vApp predefinida o un conjunto equivalente de derechos.


VMware, Inc. 41

Procedimiento




2 Haga clic en el botón Generar nueva vApp.

Se abrirá un cuadro de diálogo nuevo.

3 Introduzca un nombre y, si lo desea, una descripción de la vApp.

4 En el menú desplegable Centro de datos virtual, seleccione el centro de datos virtual en el que desea implementar la vApp.

Se mostrarán los centros de datos virtuales disponibles en una lista.

5 Cree una nueva máquina virtual y asóciela con la vApp de forma automática.

a Haga clic en Agregar máquina virtual para crear una nueva máquina virtual y asociarla con la vApp de forma automática.

b Introduzca los siguientes valores.


Nombre Introduzca un nombre para la máquina virtual.

Centro de datos virtual Seleccione el centro de datos virtual que desea asociar con la máquina virtual.

Descripción Introduzca una descripción significativa.

Tipo Seleccione Nueva o A partir de plantilla. Si selecciona A partir de plantilla, puede seleccionar una plantilla para un sistema operativo determinado en Catálogo. Si selecciona Nueva, puede aplicar una configuración personalizada.

Encender Una vez creada la máquina virtual, esta se enciende automáticamente.

c Si ha elegido crear la máquina virtual a partir de una plantilla, seleccione la plantilla adecuada en el catálogo Plantillas.


VMware, Inc. 42

d Si ha elegido crear una máquina virtual personalizada, proporcione la siguiente información.


Sistema operativo Seleccione la familia del sistema operativo, un sistema operativo de los valores prestablecidos y predeterminados, y una imagen de arranque si hay una disponible en los menús correspondientes.

Tamaño Elija una de las opciones de tamaño predeterminadas y utilice los valores preestablecidos de CPU, memoria y almacenamiento, o bien introduzca valores personalizados.

Red Mantenga la configuración de red predeterminada que utiliza la red de VDC de organización asignada a la vApp o haga clic en Personalizar y seleccione otra red y otro modo de IP de los menús desplegables.

e Haga clic en Aceptar para completar la creación de la máquina virtual.

Se le dirigirá nuevamente a la pantalla Generar nueva vApp.

6 (opcional) Repita el Paso paso 5 para cada máquina virtual adicional que desee crear dentro de la vApp.

7 Haga clic en Generar para completar la creación de la vApp.

Crear una vApp a partir de un paquete OVFPuede crear e implementar una vApp directamente desde un paquete OVF sin crear una plantilla de vApp ni el correspondiente elemento del catálogo.

Requisitos previos

Compruebe que tiene un paquete OVF para cargarlo y que dispone de permiso para cargar paquetes OVF e implementar vApps.

Procedimiento




2 Haga clic en el botón Agregar vApp desde OVF.



VMware, Inc. 43

3 Siga los pasos del asistente Crear vApp desde OVF.

Paso Detalles

Seleccionar origen Haga clic en el icono de carga ( ) para buscar y seleccionar el archivo de plantilla OVF.

Nota Las extensiones de archivo admitidas incluyen .ova, .ovf, .vmdk, .mf, .cert y .strings.

Revisar detalles Compruebe los detalles de la plantilla OVF que implementará.

Seleccionar nombre y ubicación

Escriba un nombre y, si lo desea, una descripción para la vApp.

En el menú desplegable, seleccione el centro de datos virtual en el que desea implementar la vApp.

Configurar recursos En el menú desplegable Política de almacenamiento, seleccione una política de almacenamiento para cada una de las máquinas virtuales de la vApp.

Listo para completar Revise la configuración que ha especificado para la vApp y haga clic en Finalizar para completar la implementación.

Resultados

La nueva vApp aparecerá en la vista de tarjetas.

Abrir una vAppPuede abrir una vApp para ver las máquinas virtuales y redes que esta contiene, así como un diagrama que muestra la manera en la que se conectan las máquinas virtuales y las redes.

Procedimiento




2 Seleccione la vApp que desea ver.

3 En la vista de tarjetas, puede obtener información general, como el número de máquinas virtuales asociadas con la vApp, la información de concesión, las CPU totales, el almacenamiento total y las redes asociadas.

4 Haga clic en el botón Detalles de la tarjeta para ver la configuración avanzada de la vApp.

Resultados

Puede ver los detalles de la vista de tarjetas y puede usar los menús contextuales Alimentación y Más para editar la configuración de la vApp desde estas vistas.

Iniciar una vAppAl iniciar una vApp se encenderán todas las máquinas virtuales de la misma que estaban apagadas.


VMware, Inc. 44

Requisitos previos

Debe ser al menos autor de vApps.

Procedimiento




2 Seleccione la vApp que desea iniciar.

3 En el menú Alimentación, seleccione Encender.

Resultados

La vApp se encenderá.

Detener una vAppAl detener una vApp se apagan o desconectan todas las máquinas virtuales de dicha vApp. Para realizar ciertas acciones es necesario detener antes la vApp. Por ejemplo, agregar la vApp a un catálogo, copiarla o moverla a otro VDC.

Requisitos previos

La vApp debe estar iniciada.

Procedimiento




2 Seleccione la vApp que desea detener.

3 En el menú Alimentación, seleccione Apagar.


Resultados

Todas las máquinas virtuales en la vApp y la propia vApp se apagan.

Restablecer una vAppAl restablecer una vApp, se borra el estado (memoria, caché, etc.), pero la vApp sigue ejecutándose.


VMware, Inc. 45

Requisitos previos

Debe haberse iniciado la vApp y la máquina virtual debe estar encendida.

Procedimiento




2 Seleccione la vApp que desea restablecer.

3 En el menú Alimentación, seleccione Restablecer.

Resultados

Se borrará el estado y la vApp seguirá ejecutándose.

Suspender una vAppLa suspensión de una vApp conserva su estado actual escribiendo la memoria en el disco.

Requisitos previos

La vApp debe estar en ejecución.

Procedimiento




2 Seleccione la vApp que desea suspender.

3 En el menú Alimentación, seleccione Suspender.

Resultados

Se suspende la vApp y se conserva su estado.

Descartar el estado de suspensión de una vAppSi una vApp está en estado de suspensión y ya no es necesario reanudar el uso de la vApp, puede descartar el estado de suspensión. Al descartar el estado de suspensión, se quita la memoria guardada y la vApp vuelve a un estado de apagado.

Requisitos previos

La vApp debe estar en estado de suspensión.


VMware, Inc. 46

Procedimiento




2 Seleccione la vApp para la que desea descartar el estado de suspensión.

3 En el menú Más, seleccione Descartar estado de suspensión.

Resultados

El estado se descarta y la vApp se apaga.

Editar propiedades de una vAppPuede editar las propiedades de una vApp existente, como el nombre y la descripción de la vApp, las propiedades del entorno OVF, las concesiones y la configuración de uso compartido.

Editar las propiedades generales de una vAppPuede revisar y cambiar el nombre, la descripción y otras propiedades generales de una vApp.

Requisitos previos

Compruebe que la vApp está apagada.

Procedimiento




2 En la tarjeta de la vApp seleccionada, haga clic en Detalles para editar las propiedades de vApp.

3 Revise y cambie las propiedades según sea necesario y luego haga clic en Guardar.

Opción Acción

Nombre Escriba un nombre nuevo para la vApp.

Descripción Escriba una descripción opcional de la vApp.


VMware, Inc. 47

Opción Acción

Instantánea Si hay una instantánea, se muestran sus detalles.

Concesiones Seleccione Renovar para renovar la concesión.

a Programe la concesión de tiempo de ejecución en número de días.

Define durante cuánto tiempo se puede ejecutar la vApp antes de detenerse automáticamente.

b Programe la concesión de almacenamiento en número de días.

Define el número de días durante los cuales la vApp estará disponible antes de que se elimine automáticamente.

Resultados

La configuración general se guardará.

Editar las propiedades avanzadas de una vAppPuede configurar el orden de inicio y detención de las máquinas virtuales dentro de la vApp. Se recomienda hacerlo si tiene aplicaciones instaladas en distintas máquinas virtuales que se deben iniciar y detener en un orden determinado.

Esta configuración resulta útil si tiene que iniciar y detener las máquinas virtuales en un orden determinado. Por ejemplo, una máquina virtual contiene un servidor de base de datos, otra alberga un servidor de aplicaciones y la última contiene un servidor web. Para que las funciones relacionadas funcionen correctamente, primero debe iniciarse el servidor de base de datos, después el servidor de aplicaciones y, por último, el servidor web.

Requisitos previos

Compruebe que la vApp está apagada.

Procedimiento




2 En la tarjeta de la vApp seleccionada, haga clic en Detalles y desplácese hacia abajo hasta llegar a las propiedades avanzadas de la vApp.


VMware, Inc. 48

3 Introduzca las propiedades de orden de inicio y detención de cada máquina virtual y haga clic en Guardar.

Opción Acción

Orden de inicio Especifique el orden en el que desea que se inicie la máquina virtual. Debe escribir un valor para cada máquina en la secuencia.

Acción de inicio Especifique la acción de inicio que desea utilizar cuando se inicie la máquina.

La acción de inicio es la acción que realiza la máquina virtual al iniciarse.

Espera de inicio Especifique el tiempo de espera de inicio.

El tiempo de espera de inicio es la cantidad de tiempo que desea esperar antes de iniciar la siguiente máquina en la secuencia.

Acción de detención Especifique la acción de detención.

La acción de detención es la acción que realiza la máquina virtual al detenerse. Si selecciona Apagar, la máquina se apaga sin realizar acciones de desconexión que garanticen la estabilidad (lo que equivaldría a desconectar un cable de un enchufe). Seleccione esta acción si no ha instalado VMware Tools. De lo contrario, seleccione Desconectar para garantizar la estabilidad durante la desconexión.

Espera de detención Especifique el tiempo de espera de detención.

El tiempo de espera de detención es la cantidad de tiempo que se esperará antes de desconectar la siguiente máquina virtual en la secuencia.

Compartir una vAppPuede compartir las vApps con otros grupos o usuarios de la organización. Los controles de acceso establecidos determinan las operaciones que se pueden realizar en las vApps compartidas.

Procedimiento




2 En la tarjeta de la vApp seleccionada, haga clic en Detalles y desplácese hacia abajo hasta llegar a las propiedades de uso compartido de la vApp.


VMware, Inc. 49

3 Seleccione los usuarios con los cuales desea compartir la vApp y haga clic en Guardar.

Opción Acción

Compartir con todos en la organización

Seleccione esta opción para compartir con todos los usuarios de la organización.

Compartir con usuarios y grupos específicos

Seleccione esta opción para compartir únicamente con los usuarios que especifique.

a Seleccione los nombres en el panel Usuarios y grupos sin acceso para moverlos al panel Usuarios y grupos con acceso.

b Seleccione un nivel de acceso para los usuarios y los grupos especificados.

n Para otorgar un control total, seleccione Control total.

Los usuarios con control total pueden abrir, iniciar, guardar una vApp como una plantilla de vApp, agregar la plantilla a un catálogo, cambiar el propietario de la vApp, copiar en un catálogo y modificar las propiedades.

n Para otorgar acceso de solo lectura, seleccione Solo lectura.

Resultados

La vApp se compartirá con los usuarios o grupos especificados.

Trabajar con instantáneasLa creación de una instantánea conserva el estado y los datos de las máquinas virtuales en una vApp en un momento específico. Las instantáneas no están diseñadas con el objetivo de utilizarse para períodos largos de tiempo ni en lugar de copias de seguridad de la vApp.

Se recomienda utilizar una instantánea al actualizar las máquinas virtuales de una vApp. Por ejemplo, antes de actualizar las máquinas virtuales, debe crear una instantánea para conservar el momento específico antes de la actualización. Para ello, debe guardar una instantánea antes de actualizar y, a continuación, puede realizar la actualización. Si no hay problemas durante la actualización, puede quitar la instantánea, lo que confirmará los cambios realizados durante la actualización. Sin embargo, si se ha producido un problema, puede revertir a la instantánea, que restaurará el estado guardado que tenía la vApp antes de la actualización.

Tomar una instantánea de una vAppPuede tomar una instantánea de todas las máquinas virtuales de una vApp. Después de tomar la instantánea, puede restaurar todas las máquinas virtuales de la vApp a la instantánea o quitar la instantánea.

Las instantáneas de vApps tienen las siguientes limitaciones.

n Las instantáneas de vApps no capturan configuraciones de NIC.

n No puede crear una instantánea de vApp si una máquina virtual de la vApp está conectada a un disco independiente.


VMware, Inc. 50

Procedimiento




2 Seleccione la vApp para la que desea crear una instantánea.

3 En el menú Más, seleccione Crear instantánea.


Resultados

Puede revertir todas las máquinas virtuales de la vApp a la instantánea más reciente.

Revertir una vApp a una instantáneaPuede restaurar todas las máquinas virtuales de una vApp al estado en el que se encontraban cuando se creó la instantánea de la vApp.

Requisitos previos

Compruebe que la vApp tenga una instantánea.

Procedimiento




2 Seleccione la vApp para la que desea crear una instantánea.

3 En el menú Más, seleccione Revertir a instantánea.


Resultados

Todas las máquinas virtuales de la vApp se revertirán al estado de la instantánea.

Quitar una instantánea de una vAppPuede quitar una instantánea de una vApp.

Requisitos previos

Ha guardado una instantánea de la vApp.


VMware, Inc. 51

Procedimiento




2 Seleccione la vApp para la que desea quitar una instantánea.

3 En el menú Más, seleccione Quitar instantánea.

Resultados

Se quitará la instantánea.

Cambiar el propietario de una vAppPuede cambiar el propietario de una vApp, por ejemplo, si éste abandona la compañía o su función cambia dentro de la misma.

Requisitos previos

Debe ser administrador de organización.

Procedimiento




2 Seleccione la vApp para la que desea cambiar los propietarios.

3 En el menú Más, seleccione Cambiar propietario.

4 Seleccione un usuario de la lista.


Resultados

Se cambiará el propietario.

Mover una vApp a otro centro de datos virtualAl mover una vApp a otro centro de datos virtual, la vApp se elimina del centro de datos virtual de origen.

Requisitos previos

n Debe ser al menos autor de vApps.

n La vApp está detenida.


VMware, Inc. 52

Procedimiento




2 Seleccione la vApp que desea mover.

3 En el menú Más, seleccione Mover a.

4 Seleccione el centro de datos virtual al que desea mover la vApp.


Resultados

La vApp se quitará del centro de datos de origen y se moverá al centro de datos de destino.

Copiar una vApp detenida en otro centro de datos virtualAl copiar una vApp a otro centro de datos virtual, la vApp original permanece en el centro de datos virtual de origen y se crea una copia de la vApp en el centro de datos virtual que seleccione.

Requisitos previos

n Debe ser al menos autor de vApps.

n La vApp está apagada.

Procedimiento




2 Seleccione la vApp que desea copiar.

3 En el menú Más, seleccione Copiar a.

4 Escriba un nombre y descripción.

5 Seleccione un centro de datos virtual en el que se creará la copia de la vApp.


Resultados

La vApp se copia en el centro de datos virtual que especifique.


VMware, Inc. 53

Copiar una vApp encendidaPara crear una vApp nueva basada en otra existente, puede copiar una vApp y modificar la copia en función de sus necesidades. No necesita apagar las máquinas virtuales de la vApp para copiar la vApp. El estado de memoria de las máquinas virtuales en ejecución se conserva en la vApp copiada.

Requisitos previos

Verifique que se cumplan las siguientes condiciones.

n Debe ser al menos usuario de vApp.

n El centro de datos virtual de organización está respaldado por vCenter Server 5.5.

Procedimiento




2 Seleccione la vApp que desea copiar.

3 En el menú Más, seleccione Copiar a.

4 Escriba un nombre y descripción.

5 Seleccione un centro de datos virtual en el que desea crear una copia de la vApp.

6 Seleccione una política de almacenamiento.


Resultados

Se crea una copia de la vApp en estado de suspensión. Se habilita la barrera de red en la vApp copiada.

Pasos siguientes

Modifique las propiedades de red de la nueva vApp o encienda la vApp.

Agregar una máquina virtual a una vAppPuede agregar una máquina virtual a una vApp.

Requisitos previos

Debe ser administrador de organización o autor de vApp para obtener acceso a las máquinas virtuales de catálogos públicos.


VMware, Inc. 54

Procedimiento




2 Seleccione la vApp a la que desea agregar una máquina virtual.

3 En el menú Más, seleccione Agregar MV.

La lista de máquinas virtuales asociadas a la vApp se muestra en la ventana Agregar MV.

4 Para crear una nueva máquina virtual y asociarla a la vApp de forma automática, haga clic en Agregar máquina virtual.

5 Introduzca el nombre y el nombre del equipo de la máquina virtual.

Importante El nombre del equipo solo puede contener caracteres alfanuméricos y no puede estar compuesto únicamente de dígitos.

6 Seleccione el centro de datos virtual que desea asociar con la máquina virtual.

7 Seleccione si desea que la máquina virtual se encienda inmediatamente después de crearse.

8 (opcional) Introduzca una descripción significativa.

9 Seleccione cómo desea implementar la máquina virtual.

Opción Acción

Nuevo Implementa una nueva máquina virtual con una configuración personalizable.

a Seleccione una familia de sistema operativo y un sistema operativo.

b (Opcional) Seleccione una imagen de arranque.

c Seleccione el tamaño de la máquina virtual o haga clic en Personalizar para especificar manualmente la configuración informática, de memoria y de almacenamiento.

El tamaño de la máquina virtual puede ser pequeño, mediano o grande.

d Especifique la configuración de red para la máquina virtual, como red, modo de IP, dirección IP y NIC primaria.

Puede conservar la configuración de red predeterminada que utiliza la red de VDC de organización asignada a la vApp.

A partir de plantilla Implementa una máquina virtual a partir de una plantilla seleccionada del catálogo de plantillas.

10 Haga clic en Aceptar para completar la creación de la máquina virtual.

Guardar una vApp como plantilla de vApp en un catálogoAl agregar una vApp a un catálogo, se convierte esa vApp determinada en una plantilla de vApp.


VMware, Inc. 55

Requisitos previos


n La organización debe tener un catálogo y un centro de datos virtual con espacio disponible.

Procedimiento




2 Seleccione la vApp que desea agregar a un catálogo.

3 En el menú Más, seleccione Agregar a catálogo.

Nota Puede agregar vApps a un catálogo incluso si las máquinas virtuales que pertenecen a la vApp están en ejecución. Sin embargo, si selecciona una vApp en ejecución, esta se añade al catálogo como una plantilla de vApp y todas las máquinas virtuales se encuentran en estado de suspensión.

4 Seleccione el catálogo de destino del menú desplegable Catálogo.

5 Escriba un nombre y, si lo desea, una descripción para la plantilla de vApp.

6 (opcional) Si desea que el nuevo elemento de catálogo sobrescriba cualquier plantilla de vApp existente, seleccione Sobrescribir elemento de catálogo y el elemento de catálogo que desea sobrescribir.

Por ejemplo, al cargar una nueva versión de una vApp en el catálogo, es posible que desee sobrescribir la versión anterior.

7 Especifique cómo se utilizará la plantilla.

La configuración se aplica al crear una vApp basada en la plantilla de vApp. En cambio, se omite al generar una vApp mediante máquinas virtuales independientes a partir de esta plantilla.


Realizar copia idéntica Seleccione esta opción para realizar una copia idéntica de la vApp cuando se crea una vApp a partir de la plantilla de vApp.

Personalizar configuración de MV Seleccione esta opción para habilitar la personalización de la configuración de máquina virtual cuando se crea una vApp a partir de la plantilla de vApp.

8 Haga clic en Aceptar para completar la creación de la plantilla de vApp.

Resultados

La vApp se guardará como una plantilla de vApp y aparecerá en el catálogo seleccionado.


VMware, Inc. 56

Descargar una vApp como un paquete OVFPuede descargar una vApp como un paquete OVF o como un archivo OVA, que es una distribución de un solo archivo del mismo paquete de archivos OVF.

Requisitos previos


n Compruebe que la vApp esté apagada y sin implementar.

Procedimiento




2 Seleccione la vApp que desea descargar como OVF.

3 En el menú Más, seleccione Descargar.

4 (opcional) Seleccione Proteger información de identidad para incluir los UUID y las direcciones MAC de las máquinas virtuales de la vApp en el paquete OVF descargado.

5 Haga clic en Aceptar para confirmar la selección y finalizar la descarga.

Renovar una concesión de vAppSi la concesión de una vApp ha caducado, puede renovarla.

Requisitos previos


Procedimiento




2 Seleccione la vApp que desea renovar.

3 En el menú Más, seleccione Renovar concesión.

Resultados

La concesión se renovará. Puede ver el nuevo período de tiempo de concesión en el campo Concesión.


VMware, Inc. 57

Eliminar una vAppAl eliminar una vApp, desaparece de la organización.

Requisitos previos

Debe detener la vApp.

Debe ser al menos autor de vApps.

Procedimiento




2 Seleccione la vApp que desea eliminar.

3 En el menú Más, seleccione Eliminar.


Resultados

Se eliminará la vApp.


VMware, Inc. 58

Administrar redes de VDC de organización 4Los administradores del sistema crean redes de centros de datos virtuales de organización y las asignan a su centro de datos virtual de organización. Los administradores de organización pueden visualizar la información acerca de las redes o configurar servicios de red, entre otras cosas. Puede utilizar redes de centros de datos virtuales de organización directas, enrutadas o internas.

Puede utilizar redes de centros de datos virtuales de organización directas, internas (aisladas) o enrutadas.

Tabla 4-1. Tipos de redes de centros de datos virtuales de organización

Tipo de centro de datos Descripción

Directa Varias organizaciones pueden obtener acceso a esta red. Las máquinas virtuales que pertenecen a organizaciones distintas pueden conectarse y ver el tráfico de esta red.

La red proporciona conectividad de Capa 2 directa a las máquinas virtuales que están fuera de la organización. Dichas máquinas pueden conectarse directamente a las máquinas virtuales de la organización.

Nota Solo el proveedor de servicios puede agregar una red de VDC de organización directa. Este tipo de red de VDC de organización no se puede agregar desde el portal para tenants.

Interna (aislada) Solo esta organización puede obtener acceso a esta red. Las máquinas virtuales de esta organización son las únicas que pueden conectarse y ver el tráfico de la red.

Esta red proporciona a una organización una red privada y aislada a la que se pueden conectar varias máquinas virtuales y vApps. La red no proporciona conectividad con máquinas fuera de la organización. Dichas máquinas no tendrán conectividad con las máquinas de la organización.

Con enrutamiento Solo esta organización puede obtener acceso a esta red. Las máquinas virtuales de esta organización son las únicas que pueden conectarse a la red.

Además, esta red proporciona un acceso controlado a una red externa. Los administradores de sistema y de organización pueden configurar la traducción de direcciones de red (NAT), el firewall y los valores de VPN para que se pueda obtener acceso a ciertas máquinas virtuales desde la red externa.


n Agregar una nueva red de centros de datos virtuales de organización

n Editar una red de centros de datos virtuales de organización

n Agregar direcciones IP a un grupo de direcciones IP de red de centros virtuales de organización

n Ver las direcciones IP usadas para una red de centros de datos virtuales de organización

VMware, Inc. 59

Agregar una nueva red de centros de datos virtuales de organizaciónPuede agregar una red de VDC de organización interna (aislada) o enrutada. Puede agregar una combinación de redes de VDC de organización enrutadas o internas para satisfacer las necesidades de su organización.

Puede agregar una combinación de redes de VDC de organización enrutadas o internas (aisladas) para satisfacer las necesidades de su organización. Por ejemplo, podría aislar una red que contiene información confidencial, a la vez que crea una red independiente asociada con una puerta de enlace Edge y conectada a Internet.

Requisitos previos


Procedimiento

1 Desplácese hasta Red > Redes de VDC de organización.

2 Haga clic en Agregar para agregar una nueva red de VDC de organización.

3 Introduzca la configuración de red.


Nombre Introduzca un nombre significativo para la red de VDC de organización.

Descripción Escriba una descripción de la red de VDC de organización.


VMware, Inc. 60


Compartir esta red con otros VDC de esta organización

Seleccione esta opción para que la red de VDC de organización esté disponible para otros VDC de organización en la organización.

Un posible caso de uso relacionado con esto consiste en la existencia de una aplicación en un VDC de organización que tiene un grupo de asignaciones o reservas establecido como el modelo de asignación. En este caso, es posible que no haya espacio suficiente para ejecutar más máquinas virtuales. Para solucionar este problema, puede crear un VDC de organización secundario con el modelo de asignación de pago por uso y ejecutar más máquinas virtuales en esa red de forma temporal.

Nota Las instancias de VDC de organización deben estar respaldadas por la misma instancia de VDC de proveedor.

Tipo n Seleccione Red de VDC de organización (aislada) interna para crear una red a la que solo pueda acceder esta organización.

Las máquinas virtuales de esta organización son las únicas que pueden conectarse y ver el tráfico de la red. Esta red proporciona a una organización una red privada y aislada a la que se pueden conectar varias máquinas virtuales y vApps. La red no proporciona conectividad con máquinas fuera de la organización. Dichas máquinas no tendrán conectividad con las máquinas de la organización.

n Seleccione Red de VDC de organización enrutada para crear una red que también proporcione acceso controlado a una red externa.

Los administradores de sistema y de organización pueden configurar la traducción de direcciones de red (NAT), el firewall y los valores de VPN para que se pueda obtener acceso a ciertas máquinas virtuales desde la red externa.

1 Seleccione una puerta de enlace Edge existente a la que se va a conectar la red de VDC de organización enrutada.

2 Seleccione Permitir VLAN invitada para permitir que los invitados accedan a la red.

3 Seleccione Crear como subinterfaz para ampliar una red de VDC de organización.

Al convertir la red a un tipo de subinterfaz, el software de vCloud Director identifica la red que se utilizará para la ampliación mediante la VPN de capa 2. La solución vCloud Director, con la ayuda de la virtualización de red de NSX, crea un tipo de interfaz troncal para esta red.

4 Introduzca la dirección IP y la configuración de DNS.


Dirección de puerta de enlace La dirección IP de puerta de enlace Edge.

Máscara de red La máscara de red para la red.

Por ejemplo, 255.255.255.0.

DNS primario La dirección IP del servidor DNS principal.

DNS secundario La dirección IP del servidor DNS secundario.


VMware, Inc. 61


Sufijo DNS El sufijo DNS.

El sufijo DNS es el nombre de DNS sin incluir el nombre de host.

Grupo estático Las direcciones IP estáticas o un rango de direcciones IP para un grupo de direcciones IP estáticas.

Editar una red de centros de datos virtuales de organizaciónPuede ver y editar la configuración de red del centro de datos virtual de la organización.

Requisitos previos


Procedimiento


2 Seleccione la red que desea editar.

3 Edite la configuración de red.

n Edite la descripción de la red de VDC de organización.

n Seleccione si desea compartir la red de VDC de organización con otros VDC de la organización.

Puede poner la red de VDC de organización a disposición de otros VDC de organización en la organización. Un posible caso de uso relacionado con este elemento consiste en la existencia de una aplicación en una instancia de VDC de organización que tiene un grupo de asignaciones o reservas establecido como el modelo de asignación. En este caso, es posible que no haya espacio suficiente para ejecutar más máquinas virtuales. Para solucionar este problema, puede crear una instancia secundaria de VDC de organización con pago por uso y ejecutar más máquinas virtuales en esa red de forma temporal.

Nota Las instancias de VDC de organización deben estar respaldadas por la misma instancia de VDC de proveedor.

4 Edite la configuración de IP y DNS.


DNS secundario Introduzca la dirección IP del servidor DNS secundario.

Sufijo DNS Especifique el sufijo DNS. El sufijo DNS es el nombre de DNS sin incluir el nombre de host.

Grupo estático Introduzca las direcciones IP o un rango de estas para un grupo de direcciones IP estáticas.


VMware, Inc. 62

5 Vea las direcciones IP asignadas. Puede ver la lista de direcciones IP que ha asignado para las redes de VDC de organización y determinar cuáles se están utilizando actualmente:


Dirección IP La dirección IP del grupo de direcciones IP asignadas.

Implementado Si la dirección IP se está utilizando, se establece el valor de Implementado en Sí.

MV La máquina virtual asociada a la dirección IP.

vApp La vApp asociada a la dirección IP.

6 Si existen, vea los metadatos asociados con la red de VDC de organización.

Agregar direcciones IP a un grupo de direcciones IP de red de centros virtuales de organizaciónCuando una red de centros de datos virtuales de organización se está quedando sin direcciones IP, se pueden agregar más al grupo de direcciones IP.

No se puede agregar direcciones IP a redes de centros de datos virtuales de organización externas que tengan conexión directa.

Requisitos previos


Procedimiento


2 Seleccione la red que desea editar.

La sección Editar red de VDC de organización se muestra debajo de la lista de redes de VDC de organización.

3 En el cuadro de texto Grupo de direcciones IP estáticas, escriba la dirección IP o el rango de direcciones IP, y haga clic en Agregar.

Resultados

La dirección IP o el rango de direcciones IP se agregan al grupo de direcciones IP de red.

Ver las direcciones IP usadas para una red de centros de datos virtuales de organizaciónPuede ver una lista de las direcciones IP de un grupo de direcciones IP de la red de centros de datos virtuales de organización que se estén utilizando en estos momentos.


VMware, Inc. 63

Requisitos previos


Procedimiento


2 Seleccione la red para la que desea ver las direcciones IP utilizadas.

3 Desplácese hacia abajo hasta el campo Direcciones IP asignadas para ver las direcciones IP que están en uso actualmente.


VMware, Inc. 64

Capacidades de red avanzadas para tenants de vCloud Director 5vCloud Director proporciona capacidades de red avanzadas con tecnología del software de virtualización de red NSX que ofrece controles y enrutamiento de seguridad mejorados, así como capacidades de escalado de red en un entorno en la nube.

Con estas capacidades de red, puede alcanzar un nivel de seguridad y aislamiento sin precedentes en el centro de datos virtual de organización. Estas capacidades ofrecen las siguientes ventajas:

n Enrutamiento dinámico. Las capacidades de NSX en el entorno de vCloud Director admiten protocolos de enrutamiento, como Border Gateway Protocol (BGP) y Open Shortest Path First (OSPF) para simplificar la integración de red entre sistemas, con el fin de proporcionar redundancia y continuidad en la implementación de aplicaciones alojadas en la nube.

n Seguridad y aislamiento de red específicos. Las capacidades de NSX en el entorno de vCloud Director admiten el uso de las definiciones de regla basadas en objetos para proporcionar un aislamiento del tráfico de red con estado sin necesidad de contar con varias redes virtuales. Este modelo de seguridad sin confianza impide que los intrusos obtengan acceso a la red completa si una aplicación o una máquina virtual están en riesgo. Se simplifica la configuración de red utilizando las mismas políticas de seguridad de red para proteger las aplicaciones sin importar si están ubicadas físicamente en el entorno de vCloud Director, y para ampliar el modelo de seguridad sin confianza a la seguridad portátil independientemente de dónde se implemente una aplicación.

n Otras capacidades que ofrece NSX incluyen la compatibilidad mejorada con VPN para la conectividad de punto a sitio (VPN de IPsec) y de usuario (VPN-Plus de SSL), equilibrio de carga mejorado para HTTPS y mayor escalabilidad de red.

Nota Puede configurar dos tipos de firewall: el firewall de puerta de enlace Edge y el distribuido. Para obtener más información sobre las diferencias entre estos firewall, consulte Configuración de firewall mediante el portal para tenants.

En esta versión de vCloud Director, podrá acceder a estas capacidades de red avanzadas mediante el portal para tenants de vCloud Director. La puerta de enlace Edge primero debe convertirse en una puerta de enlace Edge avanzada mediante la consola web de vCloud Director. Para conocer los pasos de conversión de una puerta de enlace Edge en una puerta de enlace Edge avanzada, consulte Guía del administrador de vCloud Director.


VMware, Inc. 65

n Introducción a las redes avanzadas de vCloud Director

n Configuración de firewall mediante el portal para tenants

n Administrar DHCP de puerta de enlace Edge mediante el portal para tenants

n Administrar la traducción de direcciones de red mediante el portal para tenants

n Configurar el enrutamiento avanzado a través del portal para tenants de vCloud Director

n Equilibrio de carga

n Acceso seguro mediante redes privadas virtuales

n Administrar certificados SSL mediante el portal para tenants

n Objetos de agrupamiento personalizados

n Estadísticas y registros en el portal para tenants de vCloud Director

n Habilitar el acceso de la línea de comandos SSH a una puerta de enlace Edge

n Trabajar con etiquetas de seguridad

n Trabajar con grupos de seguridad

Introducción a las redes avanzadas de vCloud DirectorSe utilizan las redes avanzadas de vCloud Director para realizar tareas de administración en una organización de un sistema de vCloud Director. Puede administrar los firewalls distribuidos y otras capacidades de redes avanzadas proporcionadas por los componentes de software de VMware NSX®

que un administrador del sistema de vCloud Director pone a disposición de una organización.

Para obtener una introducción al producto vCloud Director en general y al modo en que se configuran una organización y sus recursos en un sistema de vCloud Director, consulte la Guía del usuario de vCloud Director.

Los usuarios típicos de redes avanzadas son:

n Administradores del sistema de vCloud Director que pueden usar el portal para tenants para configurar el firewall distribuido y otras capacidades de redes avanzadas de una organización.

n Administradores de organización que usan el portal para tenants para administrar el firewall distribuido y otras capacidades de redes avanzadas que el administrador del sistema ha puesto a disposición de esa organización.

Configuración de firewall mediante el portal para tenantsEn el portal para tenants, puede configurar las capacidades de firewall que ofrece el software NSX en el centro de datos virtual de organización de vCloud Director. Puede crear reglas de firewall para firewalls distribuidos a fin de proporcionar seguridad entre las máquinas virtuales de un centro de datos virtual de


VMware, Inc. 66

organización y reglas de firewall que se apliquen a un firewall de puerta de enlace Edge a fin de proteger las máquinas virtuales de un centro de datos virtual de organización contra el tráfico de red externo.

Nota El portal para tenants proporciona la capacidad para configurar firewalls de puerta de enlace Edge y firewalls distribuidos.

La tecnología de firewall lógico de NSX consta de dos componentes para abordar escenarios de uso de implementación diferentes. El firewall de puerta de enlace Edge se centra en la aplicación de tráfico de norte a sur mientras que el firewall distribuido se centra en los controles de acceso de este a oeste.

Diferencias clave entre los firewalls de puerta de enlace Edge y los firewalls distribuidosUn firewall de puerta de enlace Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, incluidos el firewall y la traducción de direcciones de red (Network Address Translation, NAT), así como la funcionalidad VPN de SSL y de IPSec de sitio a sitio.

Un firewall distribuido proporciona la capacidad para aislar y proteger cada máquina virtual y aplicación hacia abajo hasta el nivel de 2 capas (L2). La configuración de firewalls distribuidos coloca en cuarentena con eficacia todo riesgo de seguridad de red externo o interno, ya que aísla el tráfico de este a oeste entre las máquinas virtuales en el mismo segmento de red. Las políticas de seguridad se pueden administrar centralmente, así como heredar y anidar, para que los administradores de redes y seguridad pueden administrarlas a gran escala. Además, una vez implementadas, las políticas de seguridad definidas siguen a las máquinas virtuales o las aplicaciones cuando se mueven de un centro de datos virtual a otro.

Acerca de las reglas de firewallComo se describe en la documentación del producto NSX, en NSX, las reglas de firewall definidas en el nivel centralizado se conocen como reglas previas. También es posible agregar reglas en un nivel de puerta de enlace Edge individual. Estas reglas se denominan reglas locales.

Cada sesión de tráfico se compara con la regla principal de la tabla de firewall antes de bajar a las reglas subsiguientes de la tabla. Se aplica la primera regla de la tabla que coincide con los parámetros de tráfico. Las reglas se muestran en el siguiente orden:

1 Las reglas previas definidas por el usuario tienen la prioridad más alta y se aplican en orden de arriba a abajo con prioridad por nivel de NIC virtual.

2 Las reglas asociadas automáticamente (las reglas que permiten que el tráfico de control fluya en los servicios de puerta de enlace Edge).

3 Las reglas locales definidas en el nivel de puerta de enlace Edge.

4 La regla de firewall distribuido predeterminada.

Para obtener más información sobre cómo el software NSX aplica las reglas de firewall, consulte Cambiar el orden de una regla de firewall en la documentación del producto NSX.


VMware, Inc. 67

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-52FBA59E-98CC-4300-BE1A-55F102F433E4.html

https://www.vmware.com/support/pubs/nsx_pubs.html

Firewall de puerta de enlace EdgeEl firewall de la puerta de enlace Edge ayuda a satisfacer los requisitos clave de seguridad del perímetro, como la creación de DMZ con base en construcciones IP/VLAN, el aislamiento de tenant a tenant en centros de datos virtuales de varios tenants, la traducción de direcciones de red (Network Address Translation, NAT), las VPN de socios (extranet) y las VPN de SSL basadas en usuarios.

El software NSX proporciona la capacidad de firewall de puerta de enlace Edge en el entorno de vCloud Director. En NSX, esta capacidad de firewall también se conoce como firewall de Edge. El firewall de puerta de enlace Edge supervisa el tráfico de norte a sur para proporcionar la funcionalidad de seguridad del perímetro, incluidos el firewall y la traducción de direcciones de red (Network Address Translation, NAT), así como la funcionalidad VPN de SSL y de IPSec de sitio a sitio.

Para obtener información más detallada sobre las capacidades que ofrece el firewall de puerta de enlace Edge del software NSX, consulte la guía de administración de NSX en la documentación de NSX.

Administrar un firewall de puerta de enlace Edge mediante el portal para tenants de vCloud DirectorSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director para trabajar con las reglas de firewall de esa puerta de enlace Edge. Si la puerta de enlace Edge no se ha convertido en una puerta de enlace Edge avanzada, puede convertirla desde los servicios de puerta de enlace Edge.

Además del requisito por el cual la puerta de enlace Edge debe ser una puerta de enlace Edge avanzada para usarla con el portal para tenants, también se debe habilitar el firewall para esa puerta de enlace Edge antes de poder trabajar con las reglas de firewall de la puerta de enlace Edge avanzada.

Tal como se describe en la guía de administración de NSX, las reglas de firewall aplicadas a un enrutador de puerta de enlace Edge solo protegen el tráfico que entra al enrutador y que sale de este. No protegen el tráfico que se desplaza entre máquinas virtuales dentro de un centro de datos virtual de organización.

Las reglas creadas en la pantalla de firewall distribuido en las que se ha especificado una puerta de enlace Edge avanzada en la columna Aplicado a no se muestran en la pantalla Firewall de dicha puerta de enlace Edge avanzada.

Las reglas de firewall de puerta de enlace Edge para una puerta de enlace Edge se muestran en la pantalla Firewall del portal para tenants y se aplican en el siguiente orden:

1 Reglas internas (también conocidas como reglas asociadas automáticamente). Estas reglas internas permiten que el tráfico de control fluya en los servicios de puerta de enlace Edge.

2 Reglas definidas por el usuario.

3 Regla predeterminada.

La configuración de la regla predeterminada se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. La regla predeterminada se muestra en la parte inferior de las reglas en la pantalla Firewall.


VMware, Inc. 68

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-F1EDFA70-08E5-4B6C-8FCD-7B2E22FB3289.html

http://www.vmware.com/support/pubs/nsx_pubs.html

En el portal para tenants, utilice el botón de alternancia Habilitar en la pantalla Reglas de firewall de la puerta de enlace Edge para deshabilitar o habilitar el firewall de una puerta de enlace Edge.

Convertir una puerta de enlace Edge en una puerta de enlace Edge avanzadaPara trabajar con una puerta de enlace Edge en el portal para tenants, debe convertirla en una puerta de enlace Edge avanzada. Después de convertirla en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants para configurar las capacidades de enrutamiento estáticas y dinámicas que proporciona el software NSX para las puertas de enlace Edge avanzadas.

Requisitos previos

Debe tener una puerta de enlace Edge.

Procedimiento

1 Desplácese hasta Red > Puerta de enlace Edge.

2 Seleccione la puerta de enlace Edge que se editará.

3 Haga clic en Convertir en avanzada.

Resultados

La puerta de enlace Edge se convierte en una puerta de enlace Edge avanzada.

Pasos siguientes

Después de convertirla en una puerta de enlace Edge avanzada, puede modificar la configuración seleccionando la puerta de enlace y haciendo clic en Configurar servicios.

Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenantsLas reglas de firewall de la puerta de enlace Edge se agregan en la pantalla Firewall del portal para tenants de dicha puerta de enlace Edge. Puede agregar varias interfaces de NSX Edge y varios grupos de direcciones IP como origen y destino de estas reglas de firewall.

Si especifica interno para el origen o el destino de una regla, indica el tráfico de todas las subredes en los grupos de puertos conectados a la puerta de enlace NSX Edge. Si selecciona interno como el origen, la regla se actualiza automáticamente cuando se configuran interfaces internas adicionales en la puerta de enlace NSX Edge.

Nota Las reglas de firewall de puerta de enlace Edge en las interfaces internas no funcionan cuando la puerta de enlace Edge está configurada para el enrutamiento dinámico.


VMware, Inc. 69

Requisitos previos

Con el fin de utilizar el portal para tenants de vCloud Director para trabajar con reglas de firewall de una puerta de enlace Edge, la puerta de enlace Edge ya debe haberse convertido en una puerta de enlace Edge avanzada a través de la acción Convertir en puerta de enlace avanzada. Puede realizar esta acción desde el portal para tenants o a través de la consola web de vCloud Director. Para obtener instrucciones sobre cómo convertir la puerta de enlace Edge en el portal para tenants, consulte Convertir una puerta de enlace Edge en una puerta de enlace Edge avanzada.

Consulte Guía del administrador de vCloud Director para obtener información sobre cómo convertir la puerta de enlace Edge a través de la consola web de vCloud Director.

Procedimiento

1 Para iniciar los servicios de puerta de enlace Edge, complete los siguientes pasos.

a Haga clic en Red > Instancias de Edge.

b Seleccione la puerta de enlace Edge que desea editar y haga clic en Configurar servicios.

El portal para tenants abrirá los servicios de puerta de enlace Edge.

2 Si la pantalla Reglas de firewall no se puede ver, haga clic en la pestaña Firewall.

3 Para agregar una regla debajo de una regla existente en la tabla de reglas de firewall, haga clic en la fila existente y, a continuación, haga clic en el icono +.

Se agrega una fila para la nueva regla debajo de la regla seleccionada y se le asigna un destino cualquiera, un servicio cualquiera y la acción Permitir de forma predeterminada. Cuando la regla predeterminada definida por el sistema es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.

4 Haga clic en la celda Nombre y escriba un nombre.


VMware, Inc. 70

5 Haga clic en la celda Origen y utilice los iconos que ahora pueden verse para seleccionar un origen y agregarlo a la regla:


Hacer clic en el icono IP Escriba el valor de origen que desea utilizar. Los valores válidos son direcciones IP, CIDR, rangos de direcciones IP o la palabra clave cualquiera. El firewall de puerta de enlace Edge admite los formatos IPv4 e IPv6.

Hacer clic en el icono + Use el icono + para especificar el origen como un objeto distinto de una dirección IP específica:

n Utilice la ventana Seleccionar objetos para agregar objetos que coincidan con los elementos seleccionados y haga clic en Conservar para agregarlos a la regla.

n Para excluir un origen de la regla, agréguelo a esta regla mediante la ventana Seleccionar objetos y, a continuación, seleccione el icono para habilitar o deshabilitar la exclusión para excluir dicho origen de esta regla.

Cuando se selecciona el icono para habilitar o deshabilitar la exclusión en el origen, la regla se aplica al tráfico proveniente de todos los orígenes, excepto del origen que se ha excluido. Cuando el icono para habilitar o deshabilitar la exclusión no se selecciona, la regla se aplica al tráfico proveniente del origen especificado en la ventana Seleccionar objetos.

6 Haga clic en la celda Destino y realice una de las siguientes acciones:


Hacer clic en el icono IP Escriba el valor de destino que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall de puerta de enlace Edge admite los formatos IPv4 e IPv6.





7 Haga clic en la celda Servicio de la nueva regla y haga clic en el icono + para especificar el servicio

como una combinación de protocolo y puerto:

a Seleccione el protocolo de servicio.

b Escriba los números de puerto de los puertos de origen y destino, o bien especifique cualquiera.

c Haga clic en Conservar.


VMware, Inc. 71

8 En la celda Acción de la nueva regla, configure la acción de la regla.


Aceptar Permite el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.

Denegar Bloquea el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.

9 Haga clic en Guardar cambios.

La operación para guardar puede tardar un minuto en completarse.

Modificar reglas de firewall de puerta de enlace Edge mediante el portal para tenantsÚnicamente puede editar y eliminar las reglas de firewall definidas por el usuario que se hayan agregado a una puerta de enlace Edge. No se puede editar ni eliminar una regla generada automáticamente o una regla predeterminada, excepto para cambiar la configuración de la acción de la regla predeterminada. Puede cambiar el orden de prioridad de las reglas definidas por el usuario.

Para obtener más información sobre la configuración disponible para las diversas celdas de una regla, consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Procedimiento





2 Haga clic en la pestaña Firewall.

3 Administre las reglas de firewall.

n Para deshabilitar una regla, haga clic en la marca de verificación de color verde en la celda N.º. La marca de verificación de color verde se convierte en un icono de color rojo que indica que está deshabilitada. Si la regla está deshabilitada y desea habilitarla, haga clic en el icono de color rojo que indica que está deshabilitada.

n Para editar el nombre de una regla, haga doble clic en la celda Nombre y escriba el nuevo nombre.

n Para modificar la configuración de una regla, como la configuración de origen o acción, seleccione la celda adecuada y utilice los controles que se muestran.

n Para eliminar una regla, selecciónela y haga clic en el botón Eliminar situado encima de la tabla de reglas.

n Oculte las reglas generadas por el sistema mediante el botón de alternancia Mostrar solo reglas definidas por el usuario.


VMware, Inc. 72

n Para subir o bajar una regla en la tabla de reglas, seleccione la regla y haga clic en los botones de flecha arriba y abajo situados encima de la tabla de reglas.


Firewall distribuidoEl firewall distribuido permite segmentar las entidades de centros de datos virtuales de la organización, como las máquinas virtuales, en función de los atributos y los nombres de las máquinas virtuales.

El software NSX proporciona la capacidad de firewall distribuido en el entorno de vCloud Director. Como se describe en la documentación de NSX, el firewall distribuido es un firewall integrado en el kernel del hipervisor que proporciona visibilidad y control sobre las redes y las cargas de trabajo virtualizadas. Puede crear políticas de control de acceso basadas en objetos, como nombres de máquinas virtuales, y en construcciones de red, como direcciones IP o conjuntos de direcciones IP. Las reglas de firewall se aplican en el nivel de vNIC de cada máquina virtual para proporcionar control de acceso consistente incluso cuando vSphere vMotion mueve la máquina virtual a un nuevo host ESXi. Este firewall distribuido es compatible con un modelo de seguridad de microsegmentación en el que se puede inspeccionar el tráfico de este a oeste en un procesamiento casi a velocidad de línea.

Como se describe en la documentación de NSX, para los paquetes de 2 capas (L2), el firewall distribuido crea una memoria caché para aumentar el rendimiento. Los paquetes de 3 capas (L3) se procesan en la siguiente secuencia:

1 Se comprueba el estado existente de todos los paquetes.

2 Cuando se encuentra una coincidencia de estado, se procesan los paquetes.

3 Cuando no se encuentra una coincidencia de estado, se procesan los paquetes mediante las reglas hasta que se encuentra una coincidencia.

n Para los paquetes TCP, solo se establece un estado para los paquetes con la marca SYN. Sin embargo, las reglas que no especifican un protocolo (servicio ANY), pueden hacer coincidir paquetes TCP con cualquier combinación de marcas.

n Para los paquetes UDP, se extraen los detalles de 5-tupla de los paquetes. Cuando no existe un estado en la tabla de estado, se crea un nuevo estado mediante los detalles de 5-tupla extraídos. Los paquetes recibidos posteriormente se comparan con el estado que se acaba de crear.

n Para los paquetes ICMP, la dirección de paquete, el código y el tipo de ICMP se utilizan para crear un estado.

El firewall distribuido también puede ayudar a crear reglas basadas en identidades. Los administradores pueden aplicar el control de acceso según la pertenencia a grupos del usuario definida en la instancia de Active Directory (AD) de la empresa. Algunos escenarios de uso cuando es posible utilizar reglas de firewall basadas en identidades son:

n Los usuarios acceden a aplicaciones virtuales con un equipo portátil o un dispositivo móvil en los que se utiliza AD para la autenticación de usuario

n Los usuarios acceden a aplicaciones virtuales mediante la infraestructura de VDI donde las máquinas virtuales se basan en Microsoft Windows


VMware, Inc. 73

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-95600C1C-FE9A-4652-821B-5BCFE2FD8AFB.html

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-95600C1C-FE9A-4652-821B-5BCFE2FD8AFB.html

Para obtener información más detallada sobre las capacidades que ofrece el firewall distribuido del software NSX, consulte Guía de administración de NSX en la documentación de NSX.

Habilitar el firewall distribuido en un centro de datos virtual de organización mediante el portal para tenantsAntes de utilizar el portal para tenants para trabajar con las capacidades de firewall distribuido en un centro de datos virtual de organización, se debe habilitar el firewall distribuido para ese centro de datos virtual de organización. Un administrador del sistema de vCloud Director o un usuario al que se haya concedido el derecho ORG_VDC_DISTRIBUTED_FIREWALL_ENABLE puede habilitar el firewall distribuido en un centro de datos virtual de organización.

Se utiliza la pantalla Firewall distribuido del portal para tenants a fin de habilitar el firewall distribuido de un centro de datos virtual de organización.

Requisitos previos

Compruebe que se hayan asignado los siguientes derechos a la organización a la que pertenece el centro de datos virtual de organización:

n Firewall distribuido de VDC de organización: habilitar o deshabilitar

n Firewall distribuido de VDC de organización: configurar reglas

n Firewall distribuido de VDC de organización: ver reglas

El administrador del sistema de vCloud Director asigna derechos a una organización. El derecho Firewall distribuido de VDC de organización: habilitar o deshabilitar es necesario para habilitar el firewall distribuido mediante la interfaz de usuario en el portal para tenants. El derecho Firewall distribuido de VDC de organización: ver reglas es necesario para ver las reglas de firewall en el portal para tenants, mientras que el derecho Firewall distribuido de VDC de organización: configurar reglas es necesario para la configuración de las reglas de firewall mediante el portal para tenants.

Compruebe que se le haya asignado una función que le otorga el derecho llamado Firewall distribuido de VDC de organización: habilitar o deshabilitar. De las funciones predefinidas en un sistema de vCloud Director, solo la función de administrador del sistema tiene ese derecho de forma predeterminada.

Procedimiento

1 Desplácese hasta Red > Seguridad.

2 Seleccione el centro de datos virtual de organización para el que desea configurar reglas de firewall distribuido.

3 Haga clic en Habilitar firewall distribuido.

Resultados

Después de habilitar el firewall distribuido, la pantalla muestra el botón Configurar servicios que le permite editar reglas de firewall distribuido.


VMware, Inc. 74

https://www.vmware.com/support/pubs/nsx_pubs.html

Pasos siguientes

Para obtener una descripción de la regla de firewall distribuido predeterminada, consulte Administrar reglas de firewall distribuido mediante el portal para tenants.

Administrar reglas de firewall distribuido mediante el portal para tenantsComo se describe en la guía de administración de NSX, la configuración de firewall predeterminada se aplica al tráfico que no coincide con ninguna de las reglas de firewall definidas por el usuario. En el portal para tenants de vCloud Director, la regla de firewall distribuido predeterminada lleva la etiqueta Regla para permitir predeterminada.

Para poder administrar la configuración del firewall distribuido mediante el portal para tenants, primero es necesario habilitar la capacidad del firewall distribuido en un centro de datos virtual de organización.

Se configura la regla de firewall distribuido predeterminada para permitir que todo el tráfico de capa 3 y de capa 2 pase por el centro de datos virtual de organización. Esta configuración se indica mediante la opción Permitir establecida en la columna Acción de la interfaz de usuario. La regla predeterminada siempre se ubica en la parte inferior de la tabla de reglas.

Importante No puede eliminar ni modificar las reglas predeterminadas del firewall distribuido.

Agregar una regla de firewall distribuido mediante el portal para tenantsPrimero debe agregar reglas de firewall distribuido al alcance del centro de datos virtual de organización. A continuación, puede limitar el alcance en el que desea que se aplique la regla. El firewall distribuido permite añadir varios objetos en los niveles de origen y destino para cada regla, lo que permite reducir el número total de reglas de firewall que se añadirán.

Requisitos previos

El centro de datos virtual de organización debe habilitarse para el firewall distribuido antes de configurar reglas de firewall distribuido para dicho centro de datos virtual de organización. Para obtener información detallada, consulte Habilitar el firewall distribuido en un centro de datos virtual de organización mediante el portal para tenants.

Procedimiento

1 Para iniciar Servicios de seguridad, desplácese hasta Red > Seguridad.

2 Seleccione la red de VDC de servicios de seguridad para la que desea modificar las reglas de firewall y haga clic en Configurar servicios.

Aparecerá la pantalla Servicios de seguridad.

3 Seleccione el tipo de regla que desea crear. Puede crear una regla general o una regla de Ethernet.

Las reglas de 3 capas (Layer 3, L3) se configuran en la pestaña General. La reglas de Capa 2 (Layer 2, L2) se configuran en la pestaña Ethernet.


VMware, Inc. 75

4 Para agregar una regla debajo de una regla existente en la tabla de firewall, haga clic en la fila existente y, a continuación, haga clic en el icono +.

Se agrega una fila para la nueva regla debajo de la regla seleccionada y se le asigna un destino cualquiera, un servicio cualquiera y la acción Permitir de forma predeterminada. Cuando la regla definida por el sistema Permitir de manera predeterminada es la única regla en la tabla de firewall, la nueva regla se agrega arriba de la regla predeterminada.

5 Haga clic en la celda Nombre y escriba un nombre.

6 Haga clic en la celda Origen y utilice los iconos que ahora pueden verse para seleccionar un origen y agregarlo a la regla:


Hacer clic en el icono IP Se aplica a las reglas definidas en la pestaña General.Escriba el valor de origen que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall distribuido solo es compatible con el formato de IPv4.






VMware, Inc. 76

7 Haga clic en la celda Destino y realice una de las siguientes acciones:


Hacer clic en el icono IP Se aplica a las reglas definidas en la pestaña General.Escriba el valor de destino que desea utilizar. Los valores válidos son direcciones IP, CIDR, un rango de direcciones IP o la palabra clave cualquiera. El firewall distribuido solo es compatible con el formato de IPv4.





8 Haga clic en la celda Servicio de la nueva regla y realice una de las siguientes acciones:


Hacer clic en el icono IP Para especificar el servicio como una combinación de puerto y protocolo, realice lo siguiente:

a Seleccione el protocolo de servicio.

b Escriba los números de puerto de los puertos de origen y destino (o especifique cualquiera), y haga clic en Conservar.

Hacer clic en el icono + Para seleccionar servicios o grupos de servicios predefinidos, o bien definir uno nuevo, realice lo siguiente:

a Seleccione uno o varios objetos, y añádalos al filtro.

b Haga clic en Conservar.

9 En la celda Acción de la nueva regla, configure la acción de la regla.


Permitir Permite el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.

Denegar Bloquea el tráfico desde los orígenes, los destinos y los servicios especificados, o bien hacia los mismos.

10 En la celda Dirección de la nueva regla, determine si la regla se aplica al tráfico entrante, al tráfico

saliente o a ambos.

11 Si se trata de una regla en la pestaña General, en la celda Tipo de paquete de la nueva regla, seleccione el tipo de paquete Cualquiera, IPV4 o IPV6.


VMware, Inc. 77

12 Seleccione la celda Aplicado a y use el icono + para definir el alcance de objetos al que se aplica esta regla.

Nota Cuando la regla contiene máquinas virtuales en las celdas Origen y Destino, debe agregar las máquinas virtuales de origen y destino a la sección Aplicado a de la regla para que esta funcione correctamente.


Editar una regla de firewall distribuidoEn un entorno de vCloud Director, para modificar una regla de firewall distribuido existente de un centro de datos virtual de organización, utilice la pantalla Firewall distribuido del portal para tenants de vCloud Director.

Para obtener más información sobre la configuración disponible para las diversas celdas de una regla, consulte Agregar una regla de firewall distribuido mediante el portal para tenants.

Procedimiento

1 Para iniciar Servicios de seguridad, desplácese hasta Red > Seguridad.

2 Seleccione la red de VDC de servicios de seguridad para la que desea modificar las reglas de firewall y haga clic en Configurar servicios.

Aparecerá la pantalla Servicios de seguridad.

3 Realice cualquiera de las siguientes acciones para administrar las reglas de firewall distribuido:

n Para deshabilitar una regla, haga clic en la marca de verificación de color verde en la celda N.º.

La marca de verificación de color verde se convierte en un icono de color rojo que indica que está deshabilitada. Si la regla está deshabilitada y desea habilitarla, haga clic en el icono de color rojo que indica que está deshabilitada.

n Para editar el nombre de una regla, haga doble clic en la celda Nombre y escriba el nuevo nombre.

n Para modificar la configuración de una regla, como la configuración de origen o acción, seleccione la celda adecuada y utilice los controles que se muestran.

n Para eliminar una regla, selecciónela y haga clic en el icono x situado por encima de la tabla de reglas.

n Para subir o bajar una regla en la tabla de reglas, seleccione la regla y haga clic en los iconos de flecha arriba y abajo situados por encima de la tabla de reglas.



VMware, Inc. 78

Administrar DHCP de puerta de enlace Edge mediante el portal para tenantsDebe configurar las puertas de enlace Edge en el entorno de vCloud Director para ofrecer servicios de protocolo de configuración dinámica de host (Dynamic Host Configuration Protocol, DHCP) a las máquinas virtuales conectadas a las redes de centros de datos virtuales de organización asociadas. Si la puerta de enlace Edge se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director para configurar los servicios DHCP para dicha puerta de enlace Edge.

Tal como se describe en la documentación de NSX, las capacidades de la puerta de enlace NSX Edge incluyen la agrupación de direcciones IP, la asignación uno a uno de direcciones IP estáticas y la configuración de servidores DNS externos. El enlace de direcciones IP estáticas se basa en el identificador del objeto administrado y el identificador de la interfaz de la máquina virtual del cliente que realiza la solicitud.

El servicio DHCP de una puerta de enlace NSX Edge realiza lo siguiente:

n Escucha en la interfaz interna de la puerta de enlace Edge para la detección DHCP.

n Utiliza la dirección IP de la interfaz interna de la puerta de enlace Edge como la dirección de puerta de enlace predeterminada para todos los clientes.

n Utiliza los valores de máscara de subred y difusión de la interfaz interna para la red de contenedor.

En las siguientes situaciones, debe reiniciar el servicio DHCP en las máquinas virtuales de cliente a las que DHCP ha asignado direcciones IP:

n Si ha cambiado o eliminado un grupo de DHCP, una puerta de enlace predeterminada o un servidor DNS.

n Si ha cambiado la dirección IP interna de la instancia de la puerta de enlace Edge.

Nota Si se modifica la configuración de DNS de una puerta de enlace Edge habilitada para DHCP, puede que la puerta de enlace Edge deje de proporcionar servicios DHCP. Si se produce esta situación, utilice el botón de alternancia Estado del servicio DHCP en la pantalla Grupos de DHCP para deshabilitar y volver a habilitar DHCP en dicha puerta de enlace Edge. Consulte Agregar un grupo de direcciones IP de DHCP.

Agregar un grupo de direcciones IP de DHCPUtilice el portal para tenants de vCloud Director para configurar los grupos de direcciones IP necesarios para un servicio DHCP de una puerta de enlace Edge avanzada. DHCP automatiza la asignación de direcciones IP a las máquinas virtuales conectadas con redes de centros de datos virtuales de organización.


VMware, Inc. 79

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-778D917C-0D70-40EE-8D57-556DE6A0442B.html

Como se describe en la documentación de NSX, el servicio DHCP requiere un grupo de direcciones IP. Un grupo de direcciones IP es un rango secuencial de direcciones IP dentro de la red. A las máquinas virtuales protegidas por la puerta de enlace Edge que no tienen un enlace de dirección se les asigna una dirección IP de este grupo. Los rangos de grupos de direcciones IP no pueden cruzarse entre sí, por lo que una dirección IP solo puede pertenecer a un grupo de direcciones IP.

Nota Se debe configurar al menos un grupo de direcciones IP de DHCP de manera que el estado del servicio DHCP esté activado.

Requisitos previos

Para utilizar el portal para tenants de vCloud Director a fin de trabajar con la configuración de una puerta de enlace Edge, esa puerta de enlace se debe convertir en una puerta de enlace Edge avanzada. Puede hacerlo en la puerta de enlace Edge de la consola web de vCloud Director o desde el portal para tenants. Para obtener información sobre cómo realizar este paso desde el portal para tenants, consulte Convertir una puerta de enlace Edge en una puerta de enlace Edge avanzada.

Procedimiento





2 Desplácese hasta DHCP > Grupos.

3 Si el servicio DHCP no está habilitado, active el botón de alternancia Estado del servicio DHCP.

Nota Agregue al menos un grupo de direcciones IP de DHCP antes de guardar los cambios realizados después de activar el botón de alternancia Estado del servicio DHCP. Si no aparece ningún grupo de direcciones IP de DHCP en la pantalla, y si activa el botón de alternancia Estado del servicio DHCP y guarda los cambios, la pantalla se muestra con el botón de alternancia desactivado.

4 Configure un grupo de direcciones IP de DHCP y agregue la configuración a la tabla que aparece en pantalla. Para ello, haga clic en el icono +, especifique los detalles del grupo de DHCP en el cuadro de diálogo y, a continuación, haga clic en Conservar.


Rango de IP Escriba un rango de direcciones IP.

Nombre de dominio Nombre de dominio del servidor DNS.

Autoconfigurar DNS Active este botón de alternancia a fin de utilizar la configuración del servicio DNS para el enlace de DNS del grupo de direcciones IP.

Si está habilitado, las opciones Servidor de nombres principal y Servidor de nombres secundario se establecen como Automático.


VMware, Inc. 80

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-398A2999-E6BB-4364-B91E-EE1FFC6360AA.html


Servidor de nombres principal Si no habilita Autoconfigurar DNS, escriba la dirección IP del servidor DNS primario.

Esta dirección IP se utiliza para la resolución de un nombre de host como una dirección IP.

Servidor de nombres secundario Si no habilita Autoconfigurar DNS, escriba la dirección IP del servidor DNS secundario.


Puerta de enlace predeterminada Escriba la dirección de puerta de enlace predeterminada.

Cuando no se especifica la dirección IP de puerta de enlace predeterminada, la interfaz interna de la instancia de puerta de enlace Edge se toma como la puerta de enlace predeterminada.

Máscara de subred Escriba la máscara de subred de la interfaz de puerta de enlace Edge.

La concesión no caduca nunca Habilite este botón de alternancia para que se mantenga indefinidamente el enlace de las direcciones IP que se han asignado fuera de este grupo con sus máquinas virtuales asignadas.

Cuando se selecciona esta opción, Tiempo de concesión se establece como infinito.

Tiempo de concesión (segundos) Periodo de tiempo (en segundos) que las direcciones IP asignadas por DHCP se otorgan como concesión a los clientes.

El tiempo de concesión predeterminado es un día (86.400 segundos).

Nota No se puede especificar un tiempo de concesión cuando se selecciona La concesión no caduca nunca.


Resultados

vCloud Director actualiza la puerta de enlace Edge para proporcionar servicios DHCP.

Agregar enlaces de DHCPSi hay servicios en ejecución en una máquina virtual y no desea que la dirección IP cambie, puede enlazar la dirección MAC de la máquina virtual a la dirección IP. La dirección IP que enlace no debe superponerse con un grupo de direcciones IP de DHCP.

Utilice la pantalla Enlaces del portal para tenants de vCloud Director para configurar enlaces de DHCP de la puerta de enlace Edge avanzada.

Requisitos previos



VMware, Inc. 81

Tiene las direcciones MAC de las máquinas virtuales para las que desea establecer enlaces.

Procedimiento





2 En Enlaces de DHCP, especifique cada enlace y agréguelo a la tabla que aparece en pantalla. Para ello, haga clic en el icono +, especifique los detalles del enlace en el cuadro de diálogo y, a continuación, haga clic en Conservar.


Dirección MAC Escriba la dirección MAC de la máquina virtual que desea enlazar a la dirección IP.

Nombre del host Escriba el nombre del host que desea establecer para la máquina virtual cuando esta solicita una concesión de DHCP.

Dirección IP Escriba la dirección IP que desea enlazar con la dirección MAC.

Máscara de subred Escriba la máscara de subred de la interfaz de puerta de enlace Edge.

Nombre de dominio Escriba el nombre de dominio del servidor DNS.

Autoconfigurar DNS Habilite este botón de alternancia para utilizar la configuración del servicio DNS de este enlace de DNS.

Si está habilitado, las opciones Servidor de nombres principal y Servidor de nombres secundario se establecen como Automático.

Servidor de nombres principal Si no selecciona Autoconfigurar DNS, escriba la dirección IP del servidor DNS primario.


Servidor de nombres secundario Si no selecciona Autoconfigurar DNS, escriba la dirección IP del servidor DNS secundario.


Puerta de enlace predeterminada Escriba la dirección de puerta de enlace predeterminada.

Cuando no se especifica la dirección IP de puerta de enlace predeterminada, la interfaz interna de la instancia de puerta de enlace Edge se toma como la puerta de enlace predeterminada.


VMware, Inc. 82


La concesión no caduca nunca Habilite este botón de alternancia para conservar la dirección IP enlazada con esa dirección MAC por un tiempo indefinido.

Cuando se selecciona esta opción, Tiempo de concesión se establece como infinito.

Tiempo de concesión (segundos) Periodo de tiempo (en segundos) que las direcciones IP asignadas por DHCP se otorgan como concesión a los clientes.

El tiempo de concesión predeterminado es un día (86.400 segundos).

Nota No se puede especificar un tiempo de concesión cuando se selecciona La concesión no caduca nunca.


Configurar la retransmisión de DHCP para puertas de enlace EdgeLa capacidad de retransmisión de DHCP que ofrece NSX en el entorno de vCloud Director permite aprovechar la infraestructura de DHCP existente dentro del entorno de vCloud Director sin interrupciones a la administración de direcciones IP en la infraestructura de DHCP existente. Los mensajes DHCP se retransmiten de las máquinas virtuales a los servidores DHCP designados en la infraestructura física de DHCP, lo que permite que las direcciones IP que controla el software NSX sigan estando sincronizadas con las direcciones IP en el resto de los entornos controlados por DHCP.

La configuración de retransmisión de DHCP de una puerta de enlace Edge puede enumerar varios servidores DHCP. Las solicitudes se envían a todos los servidores enumerados. Mientras se retransmite la solicitud DHCP de las máquinas virtuales, la puerta de enlace Edge agrega una dirección IP de puerta de enlace a la solicitud. El servidor DHCP externo utiliza esta dirección de puerta de enlace para buscar una coincidencia de un grupo y asignar una dirección IP para la solicitud. La dirección de puerta de enlace debe pertenecer a una subred de la interfaz de la puerta de enlace Edge.

Puede especificar un servidor DHCP diferente para cada puerta de enlace Edge y puede configurar varios servidores DHCP en cada puerta de enlace Edge para ofrecer compatibilidad con varios dominios IP.

Nota n La retransmisión de DHCP no admite la superposición de espacios de direcciones IP.

n La retransmisión de DHCP y el servicio DHCP no se pueden ejecutar en la misma vNIC al mismo tiempo. Si se configura un agente de retransmisión en una vNIC, no se puede configurar un grupo de DHCP en las subredes de dicha vNIC. Consulte la guía de administración de NSX para obtener más detalles.

Especificar una configuración de retransmisión de DHCP para una puerta de enlace Edge mediante el portal para tenantsSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director para configurar la capacidad de retransmisión de DHCP de la puerta de enlace Edge. El


VMware, Inc. 83

software NSX en el entorno de vCloud Director proporciona a la puerta de enlace Edge la capacidad de retransmitir los mensajes DHCP que se dirigen a los servidores DHCP externos al centro de datos virtual de organización de vCloud Director.

Como se describe en la guía de administración de NSX , es posible especificar los servidores DHCP mediante un conjunto de direcciones IP existente, un bloque de direcciones IP, un dominio o una combinación de todos los elementos anteriores. Los mensajes DHCP se retransmiten a cada servidor DHCP especificado.

También debe configurar al menos un agente de retransmisión de DHCP. Un agente de retransmisión de DHCP es una interfaz en la puerta de enlace Edge desde la que se retransmiten las solicitudes DHCP a los servidores DHCP externos.

Requisitos previos


Si desea utilizar un conjunto de direcciones IP para especificar un servidor DHCP, compruebe que el conjunto de direcciones IP exista como un objeto de agrupamiento disponible para la puerta de enlace Edge. Consulte Crear un conjunto de direcciones IP para usarlas en las reglas de firewall y la configuración de retransmisión de DHCP.

Procedimiento





2 Desplácese hasta DHCP > Retransmisión.

3 Utilice los campos que aparecen en pantalla para especificar los servidores DHCP por direcciones IP, nombres de dominio o conjuntos de direcciones IP.

Puede seleccionar uno de los conjuntos de direcciones IP existentes mediante el icono + para examinar los conjuntos de direcciones IP disponibles.

4 Para configurar un agente de retransmisión de DHCP y agregar la configuración a la tabla que aparece en pantalla, haga clic en el icono +, seleccione una vNIC y su dirección IP de puerta de enlace, y, a continuación, haga clic en Conservar.

De forma predeterminada, la dirección IP de puerta de enlace coincide con la dirección principal de la vNIC seleccionada. Puede conservar el valor predeterminado o seleccionar una dirección alternativa si hay una en dicha vNIC.



VMware, Inc. 84

Administrar la traducción de direcciones de red mediante el portal para tenantsEl software NSX en el entorno de vCloud Director permite que las puertas de enlace Edge proporcionen un servicio de traducción de direcciones de red (Network Address Translation, NAT). Con esta capacidad, se reduce la cantidad de direcciones IP públicas que debe usar una organización para fines de seguridad y economía.

El servicio NAT de la puerta de enlace Edge proporciona la capacidad de asignar una dirección pública a una máquina virtual o un grupo de máquinas virtuales en una red privada. Para permitir que las puertas de enlace Edge proporcionen acceso a los servicios que se ejecutan en máquinas virtuales con direcciones privadas del centro de datos virtual de organización, debe configurar reglas NAT en las puertas de enlace Edge. En el caso más común, se asocia un servicio NAT con una interfaz de vínculo superior en una puerta de enlace Edge del entorno de vCloud Director para que las direcciones en las redes de centros de datos virtuales de organización no queden expuestas en la red externa.

La configuración del servicio NAT se separa en reglas NAT de origen (Source NAT, SNAT) y reglas NAT de destino (Destination NAT, DNAT). Cuando se configura una regla SNAT o DNAT en una puerta de enlace Edge en el entorno de vCloud Director, siempre se configura la regla desde la perspectiva del centro de datos virtual de organización. En concreto, eso significa que se deben configurar las reglas de las siguientes maneras:

n SNAT: el tráfico se transmite desde una máquina virtual en una red interna del centro de datos virtual de organización (origen) a través de Internet hasta la red externa (el destino). Una regla SNAT traduce la dirección IP de origen de los paquetes salientes de una red de centros de datos virtuales de organización que se envían a una red externa o a otra red de centros de datos virtuales de organización.

n DNAT: el tráfico se transmite desde Internet (origen) hasta una máquina virtual dentro del centro de datos virtual de organización (destino). Una regla DNAT traduce la dirección IP (y opcionalmente, el puerto) de los paquetes que recibe una red de centros de datos virtuales de organización de una red externa o de otra red de centros de datos virtuales de organización.

Puede configurar reglas NAT para crear un espacio de direcciones IP privadas dentro del centro de datos virtual de organización. Esta configuración ofrece la capacidad de mover un espacio de direcciones IP privadas de un centro de datos virtual de organización a otro. La configuración de reglas NAT permite utilizar las mismas direcciones IP privadas para máquinas virtuales de un centro de datos virtual de organización que se utilizaron en otro.

La capacidad de reglas NAT en el entorno de vCloud Director admite lo siguiente:

n Crear subredes dentro de un espacio de direcciones IP privadas

n Crear varios espacios de direcciones IP privadas para una puerta de enlace Edge


VMware, Inc. 85

n Configurar varias reglas NAT en varias interfaces de puerta de enlace Edge

Importante Debe configurar reglas NAT y de firewall en la puerta de enlace Edge para que sea posible acceder a las máquinas virtuales en una red de la puerta de enlace Edge. De forma predeterminada, las puertas de enlace Edge se implementan con reglas de firewall configuradas para denegar todo el tráfico de red desde y hacia las máquinas virtuales en las redes de puerta de enlace Edge. Además, la opción NAT está deshabilitada de forma predeterminada en las puertas de enlace Edge de modo que dichas puertas no pueden traducir las direcciones IP del tráfico entrante y saliente, a menos que se configure NAT en las puertas de enlace Edge. Se producirá un error al intentar hacer ping en una máquina virtual de una red después de configurar una regla NAT a menos que se agregue una regla de firewall para permitir el tráfico correspondiente.

Agregar una regla DNAT o SNAT mediante el portal para tenantsSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director para trabajar con las reglas NAT de dicha puerta de enlace Edge. Puede crear una regla NAT (Source NAT, SNAT) de origen para cambiar la dirección IP de origen de pública a privada, o viceversa. Puede crear una regla NAT (Destination NAT, DNAT) de destino para cambiar la dirección IP de destino de pública a privada, o viceversa.

Al crear reglas NAT, puede especificar las direcciones IP originales y traducidas mediante los siguientes formatos:

n Dirección IP (por ejemplo, 192.0.2.0)

n Rango de direcciones IP (por ejemplo, 192.0.2.0-192.0.2.24)

n Dirección IP/máscara de subred (por ejemplo, 192.0.2.0/24)

n any

Cuando se configura una regla SNAT o DNAT en una puerta de enlace Edge en el entorno de vCloud Director, siempre se configura la regla desde la perspectiva del centro de datos virtual de organización. Una regla SNAT traduce la dirección IP de origen de los paquetes enviados de una red de centros de datos virtuales de organización a una red externa o a otra red de centros de datos virtuales de organización. Una regla DNAT traduce la dirección IP (y opcionalmente, el puerto) de los paquetes que recibe una red de centros de datos virtuales de organización de una red externa o de otra red de centros de datos virtuales de organización.

Requisitos previos

Las direcciones IP públicas deben haberse agregado a la interfaz de puerta de enlace Edge en la que desea agregar la regla. Para las reglas DNAT, la dirección IP original (pública) debe haberse agregado a la interfaz de puerta de enlace Edge. En cambio, para las reglas SNAT, la dirección IP traducida (pública) debe haberse agregado a la interfaz.


VMware, Inc. 86


Procedimiento





2 Haga clic en NAT para ver la pantalla Reglas NAT.

3 Según el tipo de regla NAT que se crea, haga clic en Regla DNAT o en Regla SNAT.

4 Configure una regla NAT de destino (de afuera hacia adentro).


Aplicado en Seleccione la interfaz en la que se va a aplicar la regla.

IP/rango original Escriba la dirección IP requerida.

Esta debe ser la dirección IP pública de la puerta de enlace Edge para la que se va a configurar la regla DNAT. En el paquete que se está inspeccionando, esta dirección IP o este rango serían los que se muestran como la dirección IP de destino del paquete. Estas direcciones de destino del paquete son las que traduce esta regla DNAT.

Protocolo Seleccione el protocolo al que se aplica la regla. Para aplicar esta regla a todos los protocolos, seleccione Cualquiera.

Puerto original (Opcional) Seleccione el puerto o el rango de puertos que el tráfico entrante utiliza en la puerta de enlace Edge para conectarse a la red interna en la que se conectan las máquinas virtuales. Esta selección no está disponible cuando se establece Protocolo como ICMP o Cualquiera.

Tipo de ICMP Si selecciona ICMP (una utilidad de informe y diagnóstico de errores usada entre dispositivos para comunicar información de errores) en Protocolo, seleccione un valor de Tipo de ICMP del menú desplegable.

Los mensajes de ICMP se identifican por campo de tipo. De forma predeterminada, el tipo de ICMP se establece en cualquiera.

IP/rango traducido Escriba la dirección IP o un rango de direcciones IP a los que se traducirán las direcciones de destino en los paquetes entrantes.

Estas direcciones son las direcciones IP de una o varias máquinas virtuales para las que se configura DNAT, de modo que puedan recibir tráfico de la red externa.

Puerto traducido (Opcional) Seleccione el puerto o el rango de puertos a los que se conecta el tráfico entrante en las máquinas virtuales de la red interna. Estos son los puertos a los que traduce la regla DNAT para los paquetes entrantes a las máquinas virtuales.

Descripción (Opcional) Escriba una descripción que permita identificar lo que hace esta regla.


VMware, Inc. 87


Habilitado Active el botón de alternancia para habilitar esta regla.

Habilitar registro Active el botón de alternancia para que se registre la traducción de direcciones realizada por esta regla.

5 Configure una regla NAT de origen (de adentro hacia afuera).


Aplicado en Seleccione la interfaz en la que se va a aplicar la regla.

IP/rango de origen original Escriba la dirección IP o el rango de direcciones IP originales que se va a aplicar a esta regla.

Estas direcciones son las direcciones IP de una o varias máquinas virtuales para las que se configura la regla SNAT, de modo que puedan enviar tráfico a la red externa.

IP/rango de origen traducido Escriba la dirección IP requerida.

Esta dirección es siempre la dirección IP pública de la puerta de enlace para la que se va a configurar la regla SNAT. Especifica la dirección IP a la que se traducen las direcciones de origen (las máquinas virtuales) en paquetes salientes cuando envían tráfico a la red externa.

Descripción (Opcional) Escriba una descripción que permita identificar lo que hace esta regla.

Habilitado Active el botón de alternancia para habilitar esta regla.

Habilitar registro Active el botón de alternancia para que se registre la traducción de direcciones realizada por esta regla.

6 Haga clic en Conservar para agregar la regla a la tabla que aparece en pantalla.

7 Repita los pasos para configurar reglas adicionales.

8 Haga clic en Guardar cambios para guardar las reglas en el sistema.

Pasos siguientes

Agregue reglas de firewall de puerta de enlace Edge correspondientes a las reglas SNAT o DNAT que acaba de configurar. Consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Configurar el enrutamiento avanzado a través del portal para tenants de vCloud DirectorSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants para configurar las capacidades de enrutamiento estático y dinámico que proporciona el software NSX para las puertas de enlace Edge avanzadas.

Para habilitar el enrutamiento dinámico, configure una puerta de enlace Edge avanzada mediante los protocolos Border Gateway Protocol (BGP) o Open Shortest Path First (OSPF).


VMware, Inc. 88

Para obtener información detallada sobre las capacidades de enrutamiento que proporciona NSX, consulte el tema sobre enrutamiento en la guía de administración de NSX que podrá encontrar en http://www.vmware.com/support/pubs/nsx_pubs.html.

Puede especificar el enrutamiento estático y dinámico de cada puerta de enlace Edge avanzada. La capacidad de enrutamiento dinámico brinda la información de reenvío necesaria entre los dominios de difusión de Capa 2, lo que permite reducir los dominios de difusión de Capa 2, así como mejorar la escala y la eficiencia de la red. NSX extiende esta inteligencia hasta las ubicaciones de las cargas de trabajo para el enrutamiento de este a oeste. Esta capacidad permite una comunicación más directa entre máquinas virtuales, sin el tiempo ni el coste adicionales necesarios para ampliar los saltos.

Especificar la configuración de enrutamiento predeterminada de la puerta de enlace EdgeMediante la pantalla Enrutamiento del portal para tenants de vCloud Director, puede especificar la configuración predeterminada del enrutamiento estático y dinámico de la puerta de enlace Edge avanzada.

Puede utilizar el portal para tenants a fin de trabajar con la configuración de enrutamiento predeterminada mediante la ejecución del portal para tenants desde la consola web de vCloud Director usando la acción Servicios de puerta de enlace Edge en una puerta de enlace Edge avanzada. Cuando se muestre el portal para tenants, utilice la pestaña Enrutamiento para desplazarse hasta las pantallas relacionadas con el enrutamiento.

Nota Para quitar toda la configuración de enrutamiento, utilice la opción BORRAR CONFIGURACIÓN GLOBAL de la parte inferior de la pantalla Configuración de enrutamiento. Esta acción elimina toda la configuración de enrutamiento especificada actualmente en las subpantallas: configuración de enrutamiento predeterminada, rutas estáticas, OSPF, BGP y redistribución de rutas.

Requisitos previos


Procedimiento





2 Desplácese hasta Enrutamiento > Configuración de enrutamiento.


VMware, Inc. 89

http://pubs.vmware.com/NSX-62/topic/com.vmware.nsx.admin.doc/GUID-885CE12B-43BF-4259-9DE5-9A7CD9EA5104.html



3 Para habilitar el enrutamiento Equal Cost Multipath (ECMP) para esta puerta de enlace Edge, active el botón de alternancia ECMP.

Como se describe en la guía de administración de NSX, ECMP es una estrategia de enrutamiento que permite que el reenvío de paquetes de siguiente salto a un destino único se produzca a través de varias de las mejores rutas. NSX determina cuáles son las mejores rutas de forma estática mediante rutas estáticas configuradas, o bien como resultado de cálculos de métricas mediante protocolos de enrutamiento dinámico como OSPF o BGP. Para especificar varias rutas de acceso para rutas estáticas, especifique varios saltos siguientes en la pantalla Rutas estáticas.

Para obtener más detalles sobre ECMP y NSX, consulte los temas relacionados con el enrutamiento en la guía de solución de problemas de NSX 6.2.

4 Especifique la configuración de la puerta de enlace de enrutamiento predeterminada.

a Utilice la lista desplegable Aplicado en para seleccionar una interfaz desde la que se puede alcanzar el siguiente salto a la red de destino.

Para ver detalles acerca de la interfaz seleccionada, haga clic en el icono de información de color azul.

b Escriba la dirección IP de la puerta de enlace.

c Escriba el valor de MTU.

d (opcional) Escriba una descripción opcional.

e Haga clic en Guardar cambios.

5 Especifique la configuración predeterminada de enrutamiento dinámico.

Nota Si ha configurado la VPN de IPsec en el entorno, no utilice el enrutamiento dinámico.

a Seleccione un identificador de enrutador.

Puede seleccionar un identificador de enrutador de la lista o utilizar el icono + para introducir uno nuevo. Este identificador de enrutador es la primera dirección IP de vínculo superior de la puerta de enlace Edge que inserta rutas en el kernel para el enrutamiento dinámico.

b Configure el registro activando el botón de alternancia Habilitar registro y seleccionando el nivel de registro.

c Haga clic en Aceptar.


Pasos siguientes

Agregue rutas estáticas. Consulte Agregar una ruta estática.

Configure la redistribución de rutas. Consulte Configurar la redistribución de rutas mediante el portal para tenants.

Configure el enrutamiento dinámico. Consulte los siguientes temas:

n Configurar BGP mediante el portal para tenants


VMware, Inc. 90

n Configurar OSPF mediante el portal para tenants

Agregar una ruta estáticaEn la pantalla Ruta estática del portal para tenants de vCloud Director, puede agregar una ruta estática para un host o una subred de destino.

Como se describe en la documentación de NSX, la dirección IP del siguiente salto de la ruta estática debe existir en una subred asociada con una de las interfaces de puerta de enlace Edge. De lo contrario, se produce un error en la configuración de esa ruta estática.

Si se habilita ECMP en la configuración de enrutamiento predeterminada, puede especificar varios saltos siguientes en las rutas estáticas. Consulte Especificar la configuración de enrutamiento predeterminada de la puerta de enlace Edge para conocer los pasos de habilitación de ECMP.

Requisitos previos


Procedimiento





2 Desplácese hasta Enrutamiento > Rutas estáticas.

3 Haga clic en el icono +.

4 Configure las siguientes opciones de la ruta estática:


Red Escriba la red con la notación de CIDR.

Siguiente salto Escriba la dirección IP del siguiente salto.

La dirección IP del siguiente salto debe existir en una subred asociada con una de las interfaces de puerta de enlace Edge.

Si se habilita ECMP, puede especificar varios saltos siguientes.

MTU Edite el valor de transmisión máxima de los paquetes de datos.

El valor de MTU no puede ser mayor que el que se ha configurado en la interfaz de puerta de enlace Edge seleccionada. Puede ver el valor de MTU configurado en la interfaz de puerta de enlace Edge de forma predeterminada en la pantalla Configuración de enrutamiento.


VMware, Inc. 91


Interfaz Si lo desea, seleccione la interfaz de puerta de enlace Edge en la que quiere agregar una ruta estática. De forma predeterminada, se selecciona la interfaz que coincide con la dirección del siguiente salto.

Descripción Si lo desea, escriba una descripción de la ruta estática.


Pasos siguientes

Configure una regla NAT para la ruta estática. Consulte Agregar una regla DNAT o SNAT mediante el portal para tenants.

Agregue una regla de firewall para permitir que el tráfico recorra la ruta estática. Para obtener información, consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Configurar OSPF mediante el portal para tenantsLa pantalla OSPF del portal para tenants de vCloud Directorpermite configurar el protocolo de enrutamiento Open Shortest Path First (OSPF) para las capacidades de enrutamiento dinámico de la puerta de enlace Edge avanzada. Una aplicación habitual de OSPF en una puerta de enlace Edge en un entorno de vCloud Director consiste en intercambiar información de enrutamiento entre puertas de enlace Edge en vCloud Director.

La puerta de enlace NSX Edge es compatible con OSPF, un protocolo de puerta de enlace interior que enruta los paquetes IP solo dentro de un único dominio de enrutamiento. Tal como se describe en la guía de administración de NSX, la configuración de OSPF en una puerta de enlace NSX Edge permite que la puerta de enlace Edge aprenda y anuncie rutas. La puerta de enlace Edge utiliza OSPF para recopilar información de estado de vínculo de puertas de enlace Edge disponibles y crear un mapa de topología de la red. La topología determina la tabla de enrutamiento que se presenta a la capa de Internet, la cual toma decisiones de enrutamiento en función de la dirección IP de destino que se encuentra en los paquetes IP.

Por ello, las políticas de enrutamiento de OSPF ofrecen un proceso dinámico de equilibrio de carga del tráfico entre rutas de igual coste. Una red OSPF se divide en áreas de enrutamiento para optimizar el flujo de tráfico y limitar el tamaño de las tablas de enrutamiento. Un área es una recopilación lógica de redes OSPF, enrutadores y vínculos que tienen la misma identificación de área. Las áreas se identifican mediante un identificador de área.

Requisitos previos

Debe configurarse un identificador de enrutador. Especificar la configuración de enrutamiento predeterminada de la puerta de enlace Edge.


VMware, Inc. 92


Procedimiento





2 Desplácese hasta Enrutamiento > OSPF.

3 Si OSPF no está habilitado, utilice el botón de alternancia OSPF habilitado para habilitarlo.

4 Configure las opciones de OSPF según las necesidades de su organización.


Habilitar reinicio correcto Especifica que el reenvío de paquetes no debe interrumpirse cuando se reinicien los servicios de OSPF.

Habilitar el origen predeterminado Permite que la puerta de enlace Edge se anuncie como puerta de enlace predeterminada ante los elementos de mismo nivel de OSPF.

5 (opcional) Puede hacer clic en Guardar cambios o continuar con la configuración de definiciones de

área y asignaciones de interfaces.


VMware, Inc. 93

6 Para agregar una definición de área de OSPF a la tabla que aparece en pantalla, haga clic en el icono +, especifique los detalles de la asignación en el cuadro de diálogo y haga clic en Conservar.

Nota De forma predeterminada, el sistema configura un área NSSA (not-so-stubby area) con el identificador de área 51. Dicha área se muestra automáticamente en la tabla de definiciones de área en la pantalla OSPF. Puede modificar o eliminar el área NSSA.


ID de área Escriba un identificador de área con el formato de una dirección IP o un número decimal.

Tipo de área Seleccione Normal o NSSA.

Las áreas NSSA impiden el desbordamiento de anuncios de estado de vínculo (Link-State Advertisement, LSA) ajenos al AS en áreas NSSA. Dependen del enrutamiento predeterminado a destinos externos. Por ello, las áreas NSSA deben ubicarse en el extremo de un dominio de enrutamiento de OSPF. Las áreas NSSA pueden importar rutas externas en el dominio de enrutamiento de OSPF, lo que proporciona un servicio de tránsito a dominios de enrutamiento pequeños que no forman parte del dominio de enrutamiento de OSPF.

Autenticación de área Seleccione el tipo de autenticación que realizará OSPF en el nivel de área.

En todas las puertas de enlace Edge dentro del área se debe configurar la misma autenticación y la contraseña correspondiente. Para que funcione la autenticación MD5, el transmisor y el receptor deben tener la misma clave de MD5.

Las opciones son:

n Ninguna

No se requiere autenticación.

n Contraseña

Con esta opción, la contraseña que se especifica en el campo Valor de autenticación de área se incluye en el paquete transmitido.

n MD5

Con esta opción, la autenticación utiliza el cifrado MD5 (síntesis del mensaje de tipo 5). En el paquete transmitido se incluye una suma de comprobación de MD5. Escriba la clave de MD5 en el campo Valor de autenticación de área.

7 Haga clic en Guardar cambios para que las definiciones de área recién configuradas estén

disponibles para seleccionarlas cuando se agreguen asignaciones de interfaz.

8 Para agregar una asignación de interfaces a la tabla que aparece en pantalla, haga clic en el icono +, especifique los detalles de la asignación en el cuadro de diálogo y haga clic en Conservar.

Con estas asignaciones, se pueden asignar interfaces de la puerta de enlace Edge a las áreas.

a En el cuadro de diálogo, seleccione la interfaz que desea asignar a una definición de área.

La interfaz especifica la red externa a la que están conectadas las dos puertas de enlace Edge.

b Seleccione el identificador del área que se asignará a la interfaz seleccionada.


VMware, Inc. 94

c (opcional) Cambie los valores predeterminados de la configuración de OSPF con el fin de personalizarlos para esta asignación de interfaz.

Al configurar una nueva asignación, se muestran los valores predeterminados de esta configuración. En la mayoría de los casos, se recomienda conservar la configuración predeterminada. Si cambia la configuración, asegúrese de que los elementos del mismo nivel de OSPF utilizan la misma configuración.


Intervalo de saludo Intervalo (en segundos) entre los paquetes de saludo que se envían en la interfaz.

Intervalo desactivado Intervalo (en segundos) durante el cual se debe recibir al menos un paquete de saludo de un vecino antes de que dicho vecino se considere desactivado.

Prioridad Prioridad de la interfaz. La interfaz con la prioridad más alta es el enrutador de la puerta de enlace Edge designada.

Coste Sobrecarga requerida para enviar paquetes a través de esa interfaz. El coste de una interfaz es inversamente proporcional al ancho de banda de dicha interfaz. Cuanto mayor sea el ancho de banda, menor será el coste.

d Haga clic en Conservar.

9 Haga clic en Guardar cambios en la pantalla OSPF.

Pasos siguientes

Configure OSPF en las otras puertas de enlace Edge con las que desea intercambiar información de enrutamiento.

Agregue una regla de firewall que permita el tráfico entre las puertas de enlace Edge habilitadas para OSPF. Para obtener información, consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Asegúrese de que la redistribución de rutas y la configuración de firewall permitan anunciar las rutas correctas. Consulte Configurar la redistribución de rutas mediante el portal para tenants.

Configurar BGP mediante el portal para tenantsLa pantalla BGP del portal para tenants de vCloud Directorpermite configurar Border Gateway Protocol (BGP) para las capacidades de enrutamiento dinámico de la puerta de enlace Edge avanzada.

Tal como se describe en la guía de administración de NSX, BGP toma decisiones esenciales de enrutamiento mediante una tabla de prefijos o redes de IP que designan la disponibilidad de la red entre varios sistemas autónomos. En el campo de redes, el término orador de BGP hace referencia a un dispositivo de redes que ejecuta BGP. Dos oradores de BGP establecen una conexión antes de intercambiar cualquier información de enrutamiento. El término vecino de BGP hace referencia a un orador de BGP que ha establecido una conexión de este tipo. Tras establecer la conexión, los dispositivos intercambian rutas y sincronizan sus tablas. Cada dispositivo envía mensajes de conexión persistente para mantener activa esta relación.


VMware, Inc. 95

Requisitos previos


Procedimiento





2 Desplácese hasta Enrutamiento > BGP.

3 Si BGP no está habilitado, utilice el botón de alternancia Habilitar BGP para habilitarlo.

4 Configure las opciones de BGP según las necesidades de su organización.


Habilitar reinicio correcto Especifica que el reenvío de paquetes no debe interrumpirse cuando se reinicien los servicios de BGP.

Habilitar el origen predeterminado Permite que la puerta de enlace Edge se anuncie como puerta de enlace predeterminada ante los vecinos de BGP.

AS local Obligatorio. Especifique el número de identificador del sistema autónomo (Autonomous System, AS) que se usará para la función AS local del protocolo. El valor que especifique debe ser un número único global entre 1 y 65534.

El AS local es una función de BGP. El sistema asigna el número de AS local a la puerta de enlace Edge que se va a configurar. La puerta de enlace Edge anuncia este identificador cuando la puerta de enlace Edge establece una relación de mismo nivel con los vecinos de BGP en otros sistemas autónomos. La ruta de acceso de los sistemas autónomos que atravesaría una ruta se utiliza como una métrica en el algoritmo de enrutamiento dinámico cuando se selecciona la mejor ruta de acceso a un destino.

5 Puede hacer clic en Guardar cambios o continuar con la configuración de los vecinos de

enrutamiento de BGP.


VMware, Inc. 96

6 Para agregar una configuración de vecino de BGP a la tabla que aparece en pantalla, haga clic en el icono +, especifique los detalles del vecino en el cuadro de diálogo y, a continuación, haga clic en Conservar.


Dirección IP Escriba la dirección IP de un vecino de BGP para esta puerta de enlace Edge.

AS remoto Escriba un número único global entre 1 y 65534 para el sistema autónomo al que pertenece este vecino de BGP. Este número de AS remoto se utiliza en la entrada del vecino de BGP en la tabla de vecinos de BGP del sistema.

Ponderación La ponderación predeterminada de la conexión de vecino. Ajuste este valor según las necesidades de la organización.

Tiempo de conexión persistente La frecuencia con la que el software envía mensajes de conexión persistente al elemento de su mismo nivel. La frecuencia predeterminada es de 60 segundos. Ajuste los valores según las necesidades de su organización.

Tiempo de espera de recuperación El intervalo para el cual el software declara que un elemento de mismo nivel está inactivo tras no recibir ningún mensaje de conexión persistente. Este intervalo debe ser tres veces más grande el intervalo de conexión persistente. El intervalo predeterminado es de 180 segundos. Ajuste los valores según las necesidades de su organización.

Una vez que se logra establecer una relación de mismo nivel entre dos vecinos de BGP, la puerta de enlace Edge inicia un temporizador de espera de recuperación. Cada mensaje de conexión persistente que recibe del vecino restablece el temporizador de espera de recuperación a 0. Si la puerta de enlace Edge no recibe tres mensajes de conexión persistente consecutivos, de modo que el temporizador de espera de recuperación llegue tres veces al intervalo de conexión persistente, la puerta de enlace Edge considera que el vecino está inactivo y elimina las rutas de este vecino.

Contraseña Si este vecino de BGP requiere autenticación, escriba la contraseña de autenticación.

Se comprobará cada segmento enviado en la conexión entre los vecinos. La autenticación MD5 debe configurarse con la misma contraseña en los dos vecinos de BGP; de lo contrario, no se establecerá la conexión entre ellos.

Filtros de BGP Utilice esta tabla para especificar el filtrado de rutas mediante una lista de prefijos de este vecino de BGP.

Precaución Se aplica una regla bloquear todo al final de los filtros.

Para agregar un filtro a la tabla, haga clic en el icono + y configure las opciones. Haga clic en Conservar para guardar cada filtro.

n Seleccione la dirección para indicar si se filtrará el tráfico que va hacia el vecino o que viene desde él.

n Seleccione la acción para indicar si permitirá o denegará el tráfico.

n Escriba la red que desea filtrar hacia el vecino o desde él. Escriba ANY o una red con formato CIDR.

n Escriba el GE de prefijo de IP y el LE de prefijo de IP para utilizar las palabras clave le y ge en la lista de prefijos de IP.

7 Haga clic en Guardar cambios para guardar la configuración en el sistema.


VMware, Inc. 97

Pasos siguientes

Configure BGP en las otras puertas de enlace Edge con las que desea intercambiar información de enrutamiento.

Agregue una regla de firewall que permita el tráfico hacia las puertas de enlace Edge configuradas para BGP y desde estas. Para obtener información, consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Configurar la redistribución de rutas mediante el portal para tenantsDe forma predeterminada, el enrutador solo comparte rutas con otros enrutadores que ejecutan el mismo protocolo; cuando se configura un entorno de varios protocolos, es necesario configurar la redistribución de rutas para compartir rutas entre protocolos. Utilice la pantalla Redistribución de rutas en el portal para tenants de vCloud Director para configurar la redistribución de rutas de la puerta de enlace Edge avanzada.

Requisitos previos


Procedimiento





2 Desplácese hasta Enrutamiento > Redistribución de rutas.

3 Utilice los botones de alternancia de protocolos para activar aquellos protocolos para los que desea habilitar la redistribución de rutas.

4 Agregue los prefijos de IP a la tabla que aparece en pantalla.

a Haga clic en el icono +.

b Escriba un nombre y la dirección IP de la red con formato CIDR.

c Haga clic en Conservar.


VMware, Inc. 98

5 Especifique los criterios de redistribución para cada prefijo de IP y agréguelos a la tabla que aparece en pantalla. Para ello, haga clic en el icono +, especifique los criterios en el cuadro de diálogo y después haga clic en Conservar.

Las entradas de la tabla se procesan de forma secuencial. Use las flechas arriba y abajo para ajustar la secuencia.

Configuración Descripción

Nombre del prefijo Seleccione un prefijo de IP específico al que aplicar estos criterios o seleccione Cualquiera para aplicar los criterios a todas las rutas de red.

Protocolo de aprendiz Seleccione el protocolo que va a aprender rutas de otros protocolos en este criterio de redistribución.

Permitir el aprendizaje desde

Seleccione los tipos de redes desde los que se pueden aprender rutas para el protocolo seleccionado en la lista Protocolo de aprendiz.

Acción Seleccione si desea permitir o denegar la redistribución de los tipos de redes seleccionados.


Equilibrio de cargaEl equilibrador de carga distribuye las solicitudes de servicio entrantes entre varios servidores de manera que la distribución de la carga sea transparente para los usuarios. El equilibrio de carga permite lograr un uso óptimo de los recursos, lo que maximiza el rendimiento, minimiza el tiempo de respuesta y permite evitar sobrecargas.

Acerca del equilibrio de cargaEl equilibrador de carga NSX es compatible con dos motores de equilibrio de carga. El equilibrador de carga de 4 capas está basado en paquetes y proporciona un procesamiento de rutas de acceso rápidas. El equilibrador de carga de 7 capas se basa en sockets, y es compatible con las estrategias de administración de tráfico avanzadas y la mitigación de DDOS para los servicios back-end.

El equilibrio de carga para una puerta de enlace Edge se configura en la interfaz externa debido a que la carga de la puerta de enlace Edge equilibra el tráfico entrante de la red externa. Al configurar servidores virtuales para el equilibrio de carga, especifique una de las direcciones IP disponibles en el VDC de organización. Consulte la Guía del usuario de vCloud Director.

Conceptos y estrategias de equilibrio de cargaUna estrategia de equilibrio de carga basado en paquetes se implementa en la capa de TCP y UDP. El equilibrio de carga basado en paquetes no detiene la conexión ni regula la solicitud completa. En lugar de eso, tras manipular el paquete, lo envía directamente al servidor seleccionado. Se mantienen las sesiones de TCP y UDP en el equilibrador de carga para que los paquetes de una solo sesión se dirijan al mismo servidor. Puede seleccionar Aceleración habilitada en la configuración global y la configuración de los servidores virtuales relevantes para habilitar el equilibrio de carga basado en paquetes.


VMware, Inc. 99

Una estrategia de equilibrio de carga basado en sockets se implementa por encima de la interfaz de sockets. Se establecen dos conexiones para una sola solicitud: una conexión orientada al cliente y una conexión orientada al servidor. La conexión orientada al servidor se establece después de la selección del servidor. Para la implementación basada en sockets de HTTP, se recibe la solicitud completa antes de enviarla al servidor seleccionado con manipulación de 7 capas opcional. Para la implementación basada en sockets HTTPS, se intercambia la información de autenticación en la conexión orientada al cliente o la conexión orientada al servidor. El equilibrio de carga basado en sockets es el modo predeterminado para los servidores virtuales TCP, HTTP y HTTPS.

Los conceptos clave para el equilibrador de carga NSX son: servidor virtual, grupo de servidores, miembro de grupo de servidores y supervisión de servicio.

Servidor virtual Resumen de un servicio de aplicación, representado por una combinación única de IP, puerto, protocolos y perfil de aplicación, como TCP o UDP.

Grupo de servidores Grupo de servidores back-end.

Miembro de grupo de servidores

El servidor back-end representado como miembro de un grupo.

Supervisión de servicio Definición de la forma de comprobar el estado de mantenimiento de un servidor back-end.

Perfil de aplicación Representación de la configuración de TCP, UDP, persistencia y certificación para una determinada aplicación.

Información general de configuraciónPara comenzar, configure las opciones globales para el equilibrador de carga. Ahora, cree un grupo de servidores compuesto por miembros de servidores back-end y asocie una supervisión de servicio al grupo para administrar y compartir los servidores back-end de forma eficiente.

A continuación, cree un perfil de aplicación para definir el comportamiento común de las aplicaciones en un equilibrador de carga, como el cliente SSL, el servidor SSL, el encabezado X-Forwarded-For o la persistencia. La persistencia envía solicitudes posteriores con características similares, como que la cookie o la dirección IP de origen envíen al mismo miembro de grupo, sin ejecutar el algoritmo de equilibrio de carga. Se puede reutilizar el perfil de aplicación en los servidores virtuales.

Cree una regla de aplicación opcional para configurar los ajustes específicos de la aplicación para la manipulación del tráfico, como la coincidencia de cierta dirección URL o nombre de host para que diferentes grupos puedan gestionar diferentes solicitudes. A continuación, cree una supervisión de servicio específica para la aplicación o utilice una supervisión de servicio existente que cumpla con sus necesidades.

Opcionalmente, puede crear una regla de aplicación para admitir la funcionalidad avanzada de servidores virtuales de 7 capas. Algunos escenarios de uso para reglas de aplicación incluyen la conmutación de contenido, la manipulación de encabezados, las reglas de seguridad y la protección de DOS.


VMware, Inc. 100

Por último, cree un servidor virtual que conecte el grupo de servidores, el perfil de aplicación y cualquier posible regla de aplicación.

Cuando el servidor virtual recibe una solicitud, el algoritmo de equilibrio de carga tiene en cuenta la configuración del miembro de grupo y el estado de tiempo de ejecución. El algoritmo calcula el grupo apropiado para distribuir el tráfico compuesto por uno o varios miembros. La configuración del miembro de grupo incluye opciones como ponderación, conexión máxima y estado de condición. El estado de tiempo de ejecución incluye las conexiones actuales, el tiempo de respuesta y la información de comprobación de estado. Los métodos de cálculo pueden ser por turnos, por turnos ponderado, mínimo conectado, hash de IP de origen, mínimo conectado ponderado, URL, URI o encabezado HTTP.

Cada grupo se supervisa con la supervisión de servicio asociada. Cuando el equilibrador de carga detecta un problema con un miembro del grupo, el miembro se marca como INACTIVO. Solo se selecciona un servidor ACTIVO cuando se elige un miembro del grupo de servidores. Si no se configura una supervisión de servicio para el grupo de servidores, todos los miembros del grupo se consideran ACTIVOS.

Configurar el servicio de equilibrador de cargaLos parámetros de configuración global del equilibrador de carga incluyen la habilitación general, la selección del motor de 4 capas o 7 capas, y la especificación de los tipos de eventos que se registrarán.

Procedimiento





2 Desplácese hasta Equilibrador de carga > Configuración global.


VMware, Inc. 101

3 Seleccione las opciones que desea habilitar:


Estado Haga clic en el icono Habilitado para habilitar el equilibrador de carga.

Haga clic en el icono Aceleración habilitada para configurar el equilibrador de carga para que utilice el motor de 4 capas (el cual es más rápido) en lugar del motor de 7 capas. La VIP de TCP de 4 capas se procesa antes que el firewall de puerta de enlace Edge, por lo que no se necesita ninguna regla para permitir el firewall.

Nota Las VIP de 7 capas para HTTP y HTTPS se procesan después del firewall, de modo que, cuando no se selecciona Aceleración habilitada, debe haber una regla de firewall de puerta de enlace Edge para permitir el acceso a la VIP de 7 capas para dichos protocolos. Cuando se selecciona Aceleración habilitada y el grupo de servidores está en modo no transparente, se agrega una regla SNAT, por lo que debe asegurarse de que el firewall esté habilitado en la puerta de enlace Edge.

Habilitar registro Haga clic en el icono Habilitado para habilitar el equilibrador de carga de la puerta de enlace Edge para que recopile registros de tráfico.

Nivel de registro Elija la gravedad de los eventos que se registrarán.



Pasos siguientes

Configure perfiles de aplicación para el equilibrador de carga. Consulte Crear un perfil de aplicación.

Crear un perfil de aplicaciónUn perfil de aplicación define el comportamiento del equilibrador de carga para un tipo determinado de tráfico de red. Tras configurar un perfil, este se asocia a un servidor virtual. A continuación, el servidor virtual procesa el tráfico según los valores especificados en el perfil. El uso de perfiles mejora el control de la administración del tráfico de red y hace que las tareas de administración de tráfico sean más sencillas y eficientes.

Al crear un perfil para el tráfico HTTPS, se permiten los siguientes patrones de tráfico HTTPS:

n Cliente -> HTTPS -> LB (finalizar SSL) -> HTTP -> servidores

n Cliente -> HTTPS -> LB (finalizar SSL) -> HTTPS -> servidores

n Cliente -> HTTPS -> LB (acceso directo SSL) -> HTTPS -> servidores

n Cliente -> HTTP -> LB -> HTTP -> servidores


VMware, Inc. 102

Procedimiento





2 Desplácese hasta Equilibrador de carga > Perfiles de aplicación.


Aparece el cuadro de diálogo Editar elemento.

4 Escriba un nombre para el perfil.

5 Configure el perfil de aplicación.


Tipo Seleccione el tipo de protocolo usado para enviar solicitudes al servidor. La lista de parámetros obligatorios depende del protocolo seleccionado. No se pueden introducir parámetros que no sean aplicables para el protocolo seleccionado. Todos los demás parámetros son obligatorios.

Habilitar acceso directo SSL Haga clic aquí para habilitar la autenticación SSL que se transferirá al servidor virtual.

De lo contrario, la autenticación SSL se realizará en la dirección de destino.

URL de redirección HTTP HTTP y HTTPS: escriba la dirección URL a la que debe redirigirse el tráfico que llega a la dirección de destino.

Persistencia Especifique un mecanismo de persistencia para el perfil.

La persistencia realiza el seguimiento de los datos de sesión y los almacena. Estos datos pueden ser, por ejemplo, el miembro de grupo específico que ha procesado una solicitud de cliente. Esto garantiza que las solicitudes de cliente se dirijan al mismo miembro de grupo durante toda una sesión o las sesiones posteriores. Las opciones son las siguientes:

n IP de origen

La persistencia de IP de origen realiza un seguimiento de las sesiones en función de la dirección IP de origen. Cuando un cliente solicita una conexión a un servidor virtual que admite la persistencia de afinidad de dirección de origen, el equilibrador de carga comprueba si ese cliente se ha conectado anteriormente y, si es así, devuelve el cliente al mismo miembro de grupo.

n MSRDP

Solo TCP: la persistencia del protocolo de escritorio remoto de Microsoft mantiene sesiones persistentes entre clientes y servidores de Windows que ejecutan el servicio de protocolo de escritorio remoto (Remote Desktop Protocol, RDP) de Microsoft. El escenario recomendado para habilitar la persistencia de MSRDP consiste en crear un grupo de equilibrio de carga que conste de miembros que ejecuten un sistema operativo invitado de Windows Server, en el que todos los miembros pertenezcan a un clúster de Windows y participen en un directorio de sesión de Windows.


VMware, Inc. 103


Nombre de cookie HTTP y HTTPS: Si ha especificado Cookie como el mecanismo de persistencia, escriba el nombre de la cookie. La persistencia de cookie usa una cookie para identificar de manera exclusiva la sesión la primera vez que un cliente accede al sitio. El equilibrador de carga hace referencia a esta cookie cuando conecta solicitudes posteriores en la sesión, de modo que todas van al mismo servidor virtual.

Modo Seleccione el modo mediante el cual debe insertarse la cookie. Se admiten los siguientes modos:

n Insertar

La puerta de enlace Edge envía una cookie. Cuando el servidor envía una o varias cookies, el cliente recibe una cookie adicional (las cookies del servidor más la cookie de la puerta de enlace Edge). Cuando el servidor no envía ninguna cookie, el cliente recibe únicamente la cookie de la puerta de enlace Edge.

n Prefijo

Seleccione esta opción cuando el cliente no admite más de una cookie.

Nota Todos los navegadores aceptan varias cookies. No obstante, puede que una aplicación privada utilice un cliente privado que solo admita una cookie. El servidor web envía la cookie como de costumbre. La puerta de enlace Edge inserta (como un prefijo) la información de cookie en el valor de cookie del servidor. Esta información de cookie adicional se quita cuando la puerta de enlace Edge la envía al servidor.

n Sesión de aplicación

Para esta opción, el servidor no envía una cookie, sino que envía la información de sesión del usuario como una dirección URL. Por ejemplo, http://example.com/admin/

UpdateUserServlet;jsessionid=OI24B9ASD7BSSD, donde jsessionid es la información de sesión del usuario y se utiliza para la persistencia. No es posible ver la tabla de persistencia de Sesión de aplicación para solucionar problemas.

Caduca en (segundos) Escriba un período de tiempo en segundos durante el que la persistencia permanece en vigor. Debe ser un número entero positivo entre 1 y 86400.

Nota Para el equilibrio de carga de 7 capas mediante la persistencia de IP de origen de TCP, se agota el tiempo de espera de la entrada de persistencia si no se establecen nuevas conexiones TCP durante un período de tiempo, incluso si las conexiones existentes aún están activas.

Insertar encabezado HTTP X-Forwarded-For

HTTP y HTTPS: seleccione Insertar encabezado HTTP X-Forwarded-For para identificar la dirección IP de origen de un cliente que se conecta a un servidor web mediante el equilibrador de carga.

Habilitar SSL del lado de grupo Solo HTTPS: seleccione Habilitar SSL del lado de grupo para definir el certificado, las CA o las CRL utilizados para autenticar el equilibrador de carga del lado de servidor en la pestaña Certificados del grupo.


VMware, Inc. 104

6 Solo HTTPS: configure los certificados que se utilizarán con el perfil de aplicación. Si no existen los certificados que necesita, puede crearlos en la pestaña Certificados.


Certificados del servidor virtual Seleccione el certificado, las CA o las CRL utilizadas para descifrar el tráfico HTTPS.

Certificados del grupo Defina el certificado, las CA o las CRL utilizadas para autenticar el equilibrador de carga del lado servidor.

Nota Seleccione Habilitar SSL del lado de grupo para habilitar esta pestaña.

Cifrado Seleccione los algoritmos de cifrado (o conjunto de cifrado) que se han negociado durante el protocolo de enlace SSL/TLS.

Autenticación de cliente Especifique si la autenticación de cliente se ignorará o será obligatoria.

Nota Si se establece como obligatoria, el cliente debe proporcionar un certificado después de la solicitud o, de lo contrario, se cancelará el protocolo de enlace.

7 Haga clic en Conservar para guardar los cambios.

La operación puede tardar un minuto en completarse.

Pasos siguientes

Agregue supervisiones del servicio para que el equilibrador de carga defina las comprobaciones de estado para distintos tipos de tráfico de red. Consulte Crear una supervisión del servicio.

Crear una supervisión del servicioLas supervisiones del servicio se crean para definir los parámetros de comprobación de estado de un tipo determinado de tráfico de red. Cuando se asocia una supervisión del servicio a un grupo, se supervisan los miembros del grupo según los parámetros de la supervisión de servicio.

Procedimiento





2 Desplácese hasta Equilibrador de carga > Supervisión del servicio.


4 Escriba un nombre para la supervisión del servicio.


VMware, Inc. 105

5 (opcional) Configure las siguientes opciones para la supervisión del servicio:


Intervalo Escriba el intervalo en el que se supervisará un servidor mediante el valor de Método especificado.

Tiempo de espera Escriba el tiempo máximo en segundos durante el cual debe recibirse una respuesta del servidor.

Máximo de reintentos Escriba el número de veces que el valor de Método de supervisión especificado debe fallar de forma secuencial para que el servidor se considere inactivo.

Tipo Seleccione la manera en la que desea enviar la solicitud de comprobación de estado al servidor: HTTP, HTTPS, TCP, ICMP o UDP.

En función del tipo seleccionado, las opciones restantes del cuadro de diálogo Nueva supervisión del servicio estarán habilitadas o deshabilitadas.

Esperado HTTP y HTTPS: escriba la cadena que la supervisión espera hacer coincidir en la línea de estado de la respuesta HTTP o HTTPS (por ejemplo, HTTP/1.1).

Método HTTP y HTTPS: seleccione el método que se utilizará para detectar el estado del servidor.

URL HTTP y HTTPS: escriba la dirección URL que se utilizará en la solicitud de estado del servidor.

Nota Cuando se selecciona el método POST, debe especificar un valor para Enviar.

Enviar HTTP, HTTPS y UDP: escriba los datos que se enviarán.

Recibir HTTP, HTTPS y UDP: escriba la cadena que se buscará en el contenido de la respuesta para hacerla coincidir.

Nota Cuando Esperado no coincide, la supervisión no intenta hacer coincidir el contenido de Recibir.

Extensión Todo: escriba parámetros de supervisión avanzados como pares con el formato clave=valor. Por ejemplo, warning=10 indica que, cuando un servidor no responde en un intervalo de 10 segundos, su estado se establece como warning. Todos los elementos de extensión deben separarse con un carácter de retorno de carro. Por ejemplo:

<extension>delay=2critical=3escape</extension>




VMware, Inc. 106

Ejemplo: Extensiones admitidas para cada protocolo

Tabla 5-1. Extensiones para los protocolos HTTP/HTTPS

Extensión de supervisión Descripción

no-body No espera un cuerpo de documento y detiene la lectura después del encabezado HTTP/HTTPS.

Nota Aún se envía HTTP GET o HTTP POST, pero no un método HEAD.

max-age=SECONDS Advierte cuando un documento tiene una antigüedad superior a la cantidad de segundos indicada por SECONDS. El número puede tener el formato 10m para minutos, 10h para horas o 10d para días.

content-type=STRING Especifica un tipo de medios para el encabezado Content-Type en las llamadas POST.

linespan Permite que la expresión regular abarque líneas nuevas (debe preceder a -r o -R).

regex=STRING o ereg=STRING Busca en la página una expresión regular que reemplaza a STRING en el ejemplo.

eregi=STRING Busca en la página una expresión regular que no distingue mayúsculas de minúsculas que reemplaza a STRING en el ejemplo.

invert-regex Devuelve CRITICAL cuando lo encuentra y OK cuando no lo encuentra.

proxy-authorization=AUTH_PAIR Especifica el par nombre de usuario:contraseña en servidores proxy con autenticación básica.

useragent=STRING Envía la cadena en el encabezado HTTP como User Agent.

header=STRING Envía cualquier otra etiqueta en el encabezado HTTP. Utilícelo varias veces para encabezados adicionales.

onredirect=ok|warning|critical|follow|sticky|stickyport Indica cómo controlar páginas redirigidas.

sticky es similar a follow, pero se queda con la dirección IP especificada. stickyport garantiza que el puerto permanezca igual.

pagesize=INTEGER:INTEGER Especifica los tamaños de página máximo y mínimo necesarios en bytes.

warning=DOUBLE Especifica el tiempo de respuesta en segundos que produce un estado de advertencia.

critical=DOUBLE Especifica el tiempo de respuesta en segundos que produce un estado crítico.


VMware, Inc. 107

Tabla 5-2. Extensiones exclusivas para protocolo HTTPS


sni Habilita la compatibilidad de extensión de nombre de host SSL/TLS (SNI).

certificate=INTEGER Especifica el número mínimo de días que un certificado debe ser válido. El puerto predeterminado es 443. Cuando se utiliza esta opción, no se comprueba la dirección URL.

authorization=AUTH_PAIR Especifica el par nombre de usuario:contraseña en sitios con autenticación básica.

Tabla 5-3. Extensiones para protocolo TCP


escape Permite el uso de \n, \r, \t o \ en una cadena send o quit. Debe aparecer antes de la opción send o quit. De forma predeterminada, no se agrega nada a send y se agrega \r\n al final de quit.

all Especifica que todas las cadenas que se esperan deben estar presentes en una respuesta del servidor. De forma predeterminada, se utiliza any.

quit=STRING Envía una cadena al servidor para cerrar la conexión correctamente.

refuse=ok|warn|crit Acepta rechazos de TCP con los estados ok, warn o criti. De forma predeterminada, utiliza el estado crit.

mismatch=ok|warn|crit Acepta faltas de coincidencia de la cadena esperada con los estados ok, warn o crit. De forma predeterminada, utiliza el estado warn.

jail Oculta los resultados del socket TCP.

maxbytes=INTEGER Cierra la conexión cuando se recibe una cantidad de bytes superior a la especificada.

delay=INTEGER Espera el número de segundos especificado entre el envío de la cadena y el sondeo de una respuesta.

certificate=INTEGER[,INTEGER] Especifica el número mínimo de días que un certificado debe ser válido. El primer valor es #days para la advertencia y el segundo valor es critical (si no se especifica: 0).

ssl Usa SSL para la conexión.

warning=DOUBLE Especifica el tiempo de respuesta en segundos que produce un estado de advertencia.

critical=DOUBLE Especifica el tiempo de respuesta en segundos que produce un estado crítico.

Pasos siguientes

Agregue grupos de servidores para el equilibrador de carga. Consulte Agregar un grupo de servidores para el equilibrio de carga.


VMware, Inc. 108

Agregar un grupo de servidores para el equilibrio de cargaPuede añadir un grupo de servidores para gestionar y compartir servidores back-end de forma flexible y eficiente. Un grupo gestiona métodos de distribución de equilibrador de carga y está asociado a la supervisión del servicio para parámetros de comprobación de estado.

Procedimiento





2 Desplácese hasta Equilibrador de carga > Grupos.


4 Escriba un nombre y, si lo desea, una descripción del grupo de equilibradores de carga.

5 Seleccione un método de equilibrio para el servicio en el menú desplegable Algoritmo:


ROUND-ROBIN Cada servidor se utiliza por turnos en función de la ponderación que tenga asignada. Es el algoritmo más uniforme y justo cuando el tiempo de proceso del servidor permanece distribuido de forma equitativa.

IP-HASH Selecciona un servidor en función de un hash de la dirección IP de origen y de destino de cada paquete.

LEASTCONN Distribuye las solicitudes del cliente a varios servidores en función del número de conexiones que ya están abiertas en el servidor. Las nuevas conexiones se envían al servidor que tenga el menor número de conexiones abiertas.

URI Se hace hash de la parte izquierda del URI (delante del signo de interrogación) y se divide por la ponderación total de los servidores en ejecución. El resultado designa el servidor que recibirá la solicitud. Esta opción garantiza que siempre se dirija un URI al mismo servidor mientras que este no se desactive.

HTTPHEADER El nombre del encabezado HTTP se busca en cada solicitud HTTP. El nombre del encabezado entre paréntesis no distingue mayúsculas de minúsculas, lo que es similar a la función ACL 'hdr()'. Si el encabezado está ausente o no contiene ningún valor, se aplica el algoritmo por turnos. El parámetro del algoritmo HTTP HEADER tiene una opción headerName=<name>. Por ejemplo, puede utilizar host como el parámetro del algoritmo HTTP HEADER.

URL El parámetro de URL especificado en el argumento se busca en la cadena de consulta de cada solicitud HTTP GET. Si al parámetro le sigue un signo igual (=) y un valor, al valor se le aplica hash y se divide por el peso total de los servidores en ejecución. El resultado determina el servidor que recibe la solicitud. Este proceso se utiliza para realizar un seguimiento de los identificadores de usuario de las solicitudes y asegurarse de que el mismo identificador de usuario se envíe siempre al mismo servidor, siempre que ningún servidor se active o desactive. Si no se encuentra ningún parámetro ni ningún valor, se aplica un algoritmo por turnos. El parámetro del algoritmo URL tiene una opción urlParam=<url>.


VMware, Inc. 109

6 Agregue miembros al grupo.


b Introduzca el nombre para el miembro del grupo.

c Introduzca la dirección IP del miembro de grupo.

d Introduzca el puerto en el que el miembro recibirá el tráfico desde el equilibrador de carga.

e Introduzca el puerto de supervisión en el que el miembro recibirá las solicitudes de supervisión de estado.

f En el cuadro de texto Ponderación, escriba la proporción de tráfico que gestionará este miembro. Debe ser un número entero entre 1 y 256.

g (opcional) En el cuadro de texto Conexiones máximas, escriba el número máximo de conexiones simultáneas que el miembro podrá gestionar.

Cuando el número de solicitudes entrantes supera el valor máximo, las solicitudes se colocan en cola y el equilibrador de carga espera hasta que se libere una conexión.

h (opcional) En el cuadro de texto Conexiones mínimas, escriba el número mínimo de conexiones simultáneas que un miembro siempre debe aceptar.

i Haga clic en Conservar para agregar el nuevo miembro al grupo.


7 (opcional) A fin de lograr que las direcciones IP de cliente sean visibles para los servidores back-end, seleccione Transparente.

Si no se selecciona Transparente (el valor predeterminado), los servidores back-end ven la dirección IP del origen del tráfico como la dirección IP interna del equilibrador de carga.

Cuando Transparente está seleccionado, la dirección IP de origen es la dirección IP real del cliente y la puerta de enlace Edge se debe establecer como la puerta de enlace predeterminada para garantizar que los paquetes devueltos pasen por la puerta de enlace Edge.



Pasos siguientes

Agregue servidores virtuales para el equilibrador de carga. Un servidor virtual tiene una dirección IP pública y atiende todas las solicitudes entrantes del cliente. Consulte Agregar un servidor virtual.

Agregar una regla de aplicaciónPuede escribir una regla de aplicación para manipular y gestionar directamente el tráfico de aplicación de IP.


VMware, Inc. 110

Procedimiento





2 Desplácese hasta Equilibrador de carga > Reglas de aplicación.


4 Escriba el nombre de la regla de aplicación.

5 Escriba el script de la regla de aplicación.

Para obtener información sobre la sintaxis de las reglas de aplicación, consulte http://cbonte.github.io/haproxy-dconv/configuration-1.5.html.



Pasos siguientes

Asocie la nueva regla de aplicación con un servidor virtual agregado para el equilibrador de carga. Consulte Agregar un servidor virtual para conocer los pasos que se deben tomar con el fin de asociar reglas de aplicación con un servidor virtual.

Agregar un servidor virtualAgregue una puerta de enlace Edge interna o una interfaz de vínculo superior como un servidor virtual. Un servidor virtual tiene una dirección IP pública y atiende todas las solicitudes entrantes del cliente.

De forma predeterminada, el equilibrador de carga cierra la conexión TCP del servidor después de cada solicitud de cliente.

Procedimiento





2 Desplácese hasta Equilibrador de carga > Servidores virtuales.



VMware, Inc. 111

http://cbonte.github.io/haproxy-dconv/configuration-1.5.html

http://cbonte.github.io/haproxy-dconv/configuration-1.5.html

4 En la pestaña General, configure las siguientes opciones del servidor virtual:


Habilitar servidor virtual Haga clic aquí para habilitar el servidor virtual.

Habilitar aceleración Haga clic aquí para habilitar la aceleración.

Perfil de aplicación Seleccione un perfil de aplicación para asociarlo con el servidor virtual.

Nombre Escriba un nombre para el servidor virtual.

Descripción Escriba una descripción opcional del servidor virtual.

Dirección IP Escriba o examine para seleccionar la dirección IP en la que el equilibrador de carga realiza la escucha.

Protocolo Seleccione el protocolo que acepta el servidor virtual. Debe seleccionar el mismo protocolo que utiliza el Perfil de aplicación seleccionado.

Puerto Escriba el número de puerto en el que el equilibrador de carga realiza la escucha.

Grupo predeterminado Elija el grupo de servidores que va a utilizar el equilibrador de carga.

Límite de conexiones (Opcional) Escriba el número máximo de conexiones simultáneas que puede procesar el servidor virtual.

Límite de velocidad de conexión (CPS)

(Opcional) Escriba el número máximo de nuevas solicitudes de conexión entrantes por segundo.

5 (opcional) Para asociar reglas de aplicación con el servidor virtual, haga clic en la pestaña Avanzado

y realice los pasos siguientes:


Aparecen las reglas de aplicación creadas para el equilibrador de carga. Si es necesario, agregue reglas de aplicación para el equilibrador de carga. Consulte Agregar una regla de aplicación.



Pasos siguientes

Cree una regla de firewall de puerta de enlace Edge para permitir el tráfico hacia el nuevo servidor virtual (la dirección IP de destino). Consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Acceso seguro mediante redes privadas virtualesSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants a fin de configurar las capacidades de VPN que proporciona el software NSX para las puertas de enlace Edge avanzadas. Puede configurar conexiones de VPN con el centro de datos virtual de organización mediante un túnel VPN-Plus de SSL, un túnel VPN de IPsec o un túnel VPN de 2 capas.


VMware, Inc. 112

Tal como se describe en la guía de administración de NSX, la puerta de enlace NSX Edge es compatible con estos servicios VPN:

n VPN-Plus de SSL, que permite a los usuarios remotos acceder a aplicaciones empresariales privadas.

n VPN de IPsec, que ofrece conectividad de sitio a sitio entre una puerta de enlace NSX Edge y sitios remotos que también tienen NSX, o bien que tienen enrutadores de hardware de terceros o puertas de enlace VPN.

n VPN de 2 capas, que posibilita la extensión del centro de datos virtual de organización al permitir que las máquinas virtuales conserven la conectividad de red sin necesidad de cambiar la dirección IP de una ubicación geográfica a otra.

En un entorno de vCloud Director, puede crear túneles VPN entre los siguientes elementos:

n Redes de centros de datos virtuales de organización en la misma organización

n Redes de centros de datos virtuales de organización en diferentes organizaciones

n Una red de centros de datos virtuales de organización y una red externa

Nota vCloud Director no admite varios túneles VPN entre dos puertas de enlace Edge idénticas. Si hay un túnel entre dos puertas de enlace Edge y desea añadir otra subred al túnel, elimine el túnel VPN existente y cree otro que incluya la nueva subred.

Después de configurar los túneles VPN de una puerta de enlace Edge, puede utilizar un cliente VPN de una ubicación remota para conectarse al centro de datos virtual de organización respaldado por esa puerta de enlace Edge.

Configurar VPN-Plus de SSL mediante el portal para tenantsLos servicios VPN-Plus de SSL para una puerta de enlace Edge en el entorno de vCloud Director permiten que los usuarios remotos se conecten de forma segura a las aplicaciones y las redes privadas de los centros de datos virtuales de organización respaldados por esa puerta de enlace Edge. Si la puerta de enlace Edge del centro de datos virtual de organización se ha convertido en una puerta de enlace Edge avanzada, puede usar la pantalla VPN-Plus de SSL del portal para tenants para configurar diversos servicios VPN-Plus de SSL en esa puerta de enlace Edge.

En el entorno vCloud Director, la capacidad VPN-Plus de SSL de la puerta de enlace Edge es compatible con el modo de acceso a la red. Los usuarios remotos deben instalar un cliente SSL para establecer conexiones seguras y tener acceso a las redes y las aplicaciones detrás de la puerta de enlace Edge. Como parte de la configuración de VPN-Plus de SSL de la puerta de enlace Edge, debe agregar los paquetes de instalación para el sistema operativo y configurar determinados parámetros. Consulte Agregar un paquete de instalación del cliente VPN-Plus de SSL para obtener más detalles.

La configuración de VPN-Plus de SSL en una puerta de enlace Edge es un proceso de varios pasos.


VMware, Inc. 113

Requisitos previos


Compruebe que todos los certificados SSL necesarios para VPN-Plus de SSL se hayan agregado a la pantalla Certificados del portal para tenants. Consulte Administrar certificados SSL mediante el portal para tenants.

Nota En una puerta de enlace Edge, el puerto 443 es el puerto predeterminado de HTTPS. Para la funcionalidad VPN de SSL, debe ser posible acceder al puerto HTTPS de la puerta de enlace Edge desde redes externas. El cliente VPN de SSL requiere que, desde el sistema cliente, se pueda acceder al puerto y a la dirección IP de la puerta de enlace Edge que se configuraron en la pantalla Configuración del servidor en la pestaña VPN-Plus de SSL del portal para tenants. Consulte Configurar ajustes de un servidor VPN de SSL.

Procedimiento

1 Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenants

Si la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede desplazarse a la pantalla VPN-Plus de SSL del portal para tenants de vCloud Director para comenzar a configurar el servicio VPN-Plus de SSL de esa puerta de enlace Edge.

2 Configurar ajustes de un servidor VPN de SSL

Esta configuración de servidor permite determinar los ajustes para el servidor VPN de SSL, como la dirección IP y el puerto de escucha para el servicio, la lista de cifrado del servicio y su certificado de servicio. Al conectarse a la puerta de enlace Edge, los usuarios remotos especifican la misma dirección IP y el puerto que se establecieron en esta configuración de servidor.

3 Crear un grupo de direcciones IP para usarlo con VPN-Plus de SSL en una puerta de enlace Edge

Se asignan direcciones IP virtuales a los usuarios remotos usando los grupos de direcciones IP estáticas que se configuran mediante la pantalla Grupos de direcciones IP en la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director.

4 Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace Edge

Utilice la pantalla Redes privadas de la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director para configurar las redes privadas. Las redes privadas son las recomendadas para el acceso de los clientes VPN, cuando los usuarios remotos se conectan mediante sus clientes VPN y el túnel VPN de SSL. Las redes privadas habilitadas se instalan en la tabla de enrutamiento del cliente VPN.


VMware, Inc. 114

5 Configurar un servicio de autenticación para VPN-Plus de SSL en una puerta de enlace Edge

Utilice la pantalla Autenticación en la pestaña VPN-Plus de SSL del portal para tenants de vCloud Director para configurar un servidor de autenticación local para el servicio VPN de SSL de puerta de enlace Edge y, si lo desea, habilitar la autenticación del certificado del cliente. Este servidor de autenticación se utiliza para autenticar los usuarios que se conectan. Se autenticarán todos los usuarios configurados en el servidor de autenticación local.

6 Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSL

Utilice la pantalla Usuarios en la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director para agregar cuentas de usuarios remotos al servidor local de autenticación para el servicio VPN de SSL de puerta de enlace Edge.

7 Agregar un paquete de instalación del cliente VPN-Plus de SSL

Utilice la pantalla Paquetes de instalación de la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director a fin de crear paquetes de instalación con nombre del cliente VPN-Plus de SSL para los usuarios remotos.

8 Editar la configuración del cliente VPN-Plus de SSL

Utilice la pantalla Configuración del cliente de la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director a fin de personalizar el modo en el que el túnel del cliente VPN de SSL debe responder cuando el usuario remoto inicia sesión en VPN de SSL.

9 Personalizar la configuración general de VPN-Plus de SSL para una puerta de enlace Edge

De forma predeterminada, el sistema establece algunos ajustes de VPN-Plus de SSL para una puerta de enlace Edge en el entorno de vCloud Director. Puede utilizar la pantalla Configuración general en la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director para personalizar esta configuración.

Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenantsSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede desplazarse a la pantalla VPN-Plus de SSL del portal para tenants de vCloud Director para comenzar a configurar el servicio VPN-Plus de SSL de esa puerta de enlace Edge.

Requisitos previos



VMware, Inc. 115

Procedimiento





2 Haga clic en la pestaña VPN-Plus de SSL.

Pasos siguientes

En la pantalla General, configure los ajustes predeterminados de VPN-Plus de SSL. Consulte Personalizar la configuración general de VPN-Plus de SSL para una puerta de enlace Edge.

Configurar ajustes de un servidor VPN de SSLEsta configuración de servidor permite determinar los ajustes para el servidor VPN de SSL, como la dirección IP y el puerto de escucha para el servicio, la lista de cifrado del servicio y su certificado de servicio. Al conectarse a la puerta de enlace Edge, los usuarios remotos especifican la misma dirección IP y el puerto que se establecieron en esta configuración de servidor.

Si la puerta de enlace Edge se configuró con varias redes de direcciones IP superpuestas en la interfaz externa, la dirección IP que seleccione para el servidor VPN de SSL puede ser diferente a la de la interfaz externa predeterminada de la puerta de enlace Edge.

Al determinar la configuración de un servidor VPN de SSL, debe elegir los algoritmos de cifrado que se utilizarán para el túnel VPN de SSL. Puede elegir uno o varios cifrados. Elija cuidadosamente los cifrados de acuerdo con los puntos fuertes y débiles de sus selecciones.

De forma predeterminada, el sistema utiliza el certificado autofirmado predeterminado que el sistema genera para cada puerta de enlace Edge como el certificado de identidad de servidor predeterminado para el túnel VPN de SSL. En lugar de esta opción predeterminada, puede utilizar un certificado digital que haya agregado al sistema en la pantalla Certificados.

Requisitos previos

n Compruebe que cumple con los requisitos previos descritos en Configurar VPN-Plus de SSL mediante el portal para tenants.

n Si decide utilizar un certificado de servicio diferente al predeterminado, importe el certificado requerido en el sistema. Consulte Agregar un certificado de servicio a la puerta de enlace Edge.

n Compruebe que ha completado los pasos descritos en Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenants .

Procedimiento

1 En la pantalla VPN-Plus de SSL, haga clic en Configuración del servidor.

2 Haga clic en Habilitado.

3 Seleccione una dirección IP.


VMware, Inc. 116

4 (opcional) Escriba un número de puerto TCP.

El paquete de instalación de cliente de SSL utilizará el número de puerto TCP. De forma predeterminada, el sistema utiliza el puerto 443, que es el puerto predeterminado para el tráfico HTTPS/SSL. Si bien el número de puerto es obligatorio, se puede establecer cualquier puerto TCP para las comunicaciones.

Nota El cliente VPN de SSL requiere que la dirección IP y el puerto se configuren aquí para que sean accesibles desde los sistemas cliente de los usuarios remotos. Si cambia el número de puerto predeterminado, asegúrese de que la combinación de puerto y dirección IP sea accesible desde los sistemas de los usuarios previstos.

5 Seleccione un método de cifrado de la lista de cifrados.

6 Configure la política de registro de syslog del servicio.

El registro está habilitado de forma predeterminada. Puede cambiar el nivel de los mensajes que se registran o deshabilitar el registro.

7 (opcional) Si desea utilizar un certificado de servicio en lugar del certificado autofirmado generado por el sistema que el sistema utiliza de forma predeterminada, haga clic en Cambiar certificado del servidor, realice la selección y haga clic en Aceptar.


Pasos siguientes

Nota Los usuarios remotos deben poder acceder a la dirección IP de puerta de enlace Edge y al número de puerto TCP que se establecen. Agregue una regla de firewall de puerta de enlace Edge que permita el acceso al puerto y a la dirección IP de VPN-Plus de SSL configurados en este procedimiento. Para obtener información, consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Agregue un grupo de direcciones IP para que se asignen direcciones IP a los usuarios remotos cuando se conecten con VPN-Plus de SSL. Para obtener información, consulte Crear un grupo de direcciones IP para usarlo con VPN-Plus de SSL en una puerta de enlace Edge.

Crear un grupo de direcciones IP para usarlo con VPN-Plus de SSL en una puerta de enlace EdgeSe asignan direcciones IP virtuales a los usuarios remotos usando los grupos de direcciones IP estáticas que se configuran mediante la pantalla Grupos de direcciones IP en la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director.


VMware, Inc. 117

Cada grupo de direcciones IP agregado a esta pantalla hace que se configure una subred de direcciones IP en la puerta de enlace Edge. Los intervalos de IP utilizados en estos grupos de direcciones IP deben ser diferentes de los de todas las otras redes configuradas en la puerta de enlace Edge.

Nota VPN de SSL asigna direcciones IP de los grupos de direcciones IP a los usuarios remotos según el orden de arriba abajo en que se muestran los grupos de direcciones IP en la tabla en pantalla. Después de agregar los grupos de direcciones IP a la tabla en pantalla, puede ajustar sus posiciones en la tabla con las flechas hacia arriba y hacia abajo.

Requisitos previos

Compruebe que ya ha completado los pasos descritos en Configurar ajustes de un servidor VPN de SSL.

Procedimiento

1 En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Grupos de direcciones IP.


3 Configure las siguientes opciones para el grupo de direcciones IP:

Opciones Descripción

Rango de IP Introduzca un rango de direcciones IP para este grupo de direcciones IP (por ejemplo, 127.0.0.1-127.0.0.9.). Estas direcciones IP se asignarán a los clientes VPN cuando se autentiquen y se conecten al túnel VPN de SSL.

Máscara de red Introduzca la máscara de red del grupo de direcciones IP (por ejemplo, 255.255.255.0).

Puerta de enlace Introduzca la dirección IP que desea que la puerta de enlace Edge cree y asígnela como la dirección de puerta de enlace para este grupo de direcciones IP. Cuando se crea el grupo de direcciones IP, se crea un adaptador virtual en la máquina virtual de la puerta de enlace Edge y se configura esta dirección IP en esa interfaz virtual. Esta dirección IP puede ser cualquier IP dentro de la subred que no sea parte también del intervalo en el campo Rango de IP.

Descripción (Opcional) Introduzca una descripción para este grupo de direcciones IP.

Estado Seleccione si desea habilitar o deshabilitar este grupo de direcciones IP.

DNS primario (Opcional) En la sección Avanzado, escriba el nombre del servidor DNS principal que se utilizará para la resolución de nombres de estas direcciones IP virtuales.

DNS secundario (Opcional) Introduzca el nombre del servidor DNS secundario que se usará.

Sufijo DNS (Opcional) Introduzca el sufijo DNS del dominio en el que se alojan los sistemas del cliente para la resolución de nombres de host basada en dominios.

Servidor WINS (Opcional) Escriba la dirección del servidor WINS si así lo requieren las necesidades de la organización.

4 Haga clic en Conservar.

Resultados

La configuración del grupo de direcciones IP se agregará a la tabla en pantalla.


VMware, Inc. 118

Pasos siguientes

Agregue las redes privadas a las que desea que los usuarios remotos puedan acceder mediante VPN-Plus de SSL. Consulte Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace Edge.

Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace EdgeUtilice la pantalla Redes privadas de la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director para configurar las redes privadas. Las redes privadas son las recomendadas para el acceso de los clientes VPN, cuando los usuarios remotos se conectan mediante sus clientes VPN y el túnel VPN de SSL. Las redes privadas habilitadas se instalan en la tabla de enrutamiento del cliente VPN.

Las redes privadas forman una lista de todas las redes IP accesibles detrás de la puerta de enlace Edge con tráfico para un cliente VPN que se desea cifrar o excluir del cifrado. Se debe agregar cada red privada que requiera acceso a través de un túnel VPN de SSL como una entrada independiente. Puede utilizar las técnicas de resumen de rutas para limitar la cantidad de entradas.

Nota n VPN-Plus de SSL permite que los usuarios remotos accedan a redes privadas según el orden de

arriba abajo en que se muestran los grupos de direcciones IP en la tabla en pantalla. Después de agregar las redes privadas a la tabla en pantalla, puede ajustar sus posiciones en la tabla con las flechas hacia arriba y hacia abajo.

n Si selecciona Habilitar optimización de TCP para una red privada, es posible que algunas aplicaciones, como FTP, en modo activo no funcionen dentro de esa subred. Para agregar un servidor FTP configurado en modo activo, debe agregar otra red privada para ese servidor FTP y deshabilitar la optimización de TCP para esa red privada. Además, la red privada para dicho servidor FTP debe estar habilitada y aparecer en la tabla en pantalla por encima de la red privada optimizada para TCP.

Requisitos previos

Compruebe que ya ha completado los pasos descritos en Crear un grupo de direcciones IP para usarlo con VPN-Plus de SSL en una puerta de enlace Edge.

Abra el portal para tenants y desplácese hasta la pantalla VPN-Plus de SSL como se describe en Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenants .

Procedimiento

1 En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Redes privadas.



VMware, Inc. 119

3 En la ventana que se abre, configure las siguientes opciones para la red privada.


Red Introduzca la dirección IP de la red privada en formato CIDR (por ejemplo, 192.169.1.0/24).

Descripción (Opcional) Introduzca una descripción para la red.

Enviar tráfico Especifique si desea que el cliente VPN envíe el tráfico de Internet y de la red privada a través de la puerta de enlace Edge habilitada para VPN-Plus de SSL (A través del túnel) u omita la puerta de enlace Edge y envíe el tráfico directamente al servidor privado (Omitir el túnel).

Habilitar optimización de TCP (Opcional) Como práctica recomendada, al seleccionar A través del túnel para enviar el tráfico, también seleccione Habilitar optimización de TCP para optimizar la velocidad de Internet. Esta opción está habilitada de forma predeterminada.

La selección de esta opción mejora el rendimiento de los paquetes TCP en el túnel VPN, pero no mejora el rendimiento del tráfico UDP.

El túnel VPN de SSL convencional de acceso completo envía datos de TCP/IP en una segunda pila de TCP/IP para el cifrado a través de Internet. Este método convencional encapsula los datos de la capa de aplicaciones en dos flujos de TCP distintos. Cuando se genera una pérdida de paquetes, lo que es posible incluso en condiciones óptimas de Internet, se produce un efecto de degradación de rendimiento denominado colapso de TCP sobre TCP. En un colapso de TCP sobre TCP, dos instrumentos TCP corrigen el mismo paquete de datos de IP, lo que socava el rendimiento de red y agota los tiempos de espera de conexión. La selección de Habilitar optimización de TCP elimina el riesgo de que se produzca este problema de TCP sobre TCP.

Nota Cuando se habilita la optimización de TCP:

n Debe utilizar el campo Puertos y especificar los números de puertos para los que se debe optimizar el tráfico.

n El servidor VPN de SSL abre la conexión TCP en nombre del cliente VPN. Cuando el servidor VPN de SSL abre la conexión TCP, se aplica la primera regla de firewall de Edge generada automáticamente, lo que permite que se aprueben todas las conexiones abiertas desde la puerta de enlace Edge. El tráfico no optimizado se evalúa en función de las reglas de firewall de Edge normales. La regla TCP generada de forma predeterminada permite cualquier conexión.

Puertos Cuando se selecciona A través del túnel, debe introducir el rango de números de puerto que desea abrir para que el usuario remoto pueda acceder a los servidores internos, como 20-21 para el tráfico de FTP y 81-80 para el tráfico de HTTP.

Para otorgar acceso sin restricciones a los usuarios, deje este campo en blanco.

Estado Especifique si desea habilitar o deshabilitar la red privada.

4 Haga clic en Conservar para agregar la configuración de red privada a la tabla en pantalla.

5 Haga clic en Guardar cambios para guardar la configuración en el sistema.


VMware, Inc. 120

Pasos siguientes

Agregue un servidor de autenticación. Consulte Configurar un servicio de autenticación para VPN-Plus de SSL en una puerta de enlace Edge.

Importante Agregue las reglas de firewall correspondientes para permitir el tráfico de red a las redes privadas que agregó en esta pantalla. Para obtener información, consulte Agregar una regla de firewall de puerta de enlace Edge mediante el portal para tenants.

Configurar un servicio de autenticación para VPN-Plus de SSL en una puerta de enlace EdgeUtilice la pantalla Autenticación en la pestaña VPN-Plus de SSL del portal para tenants de vCloud Director para configurar un servidor de autenticación local para el servicio VPN de SSL de puerta de enlace Edge y, si lo desea, habilitar la autenticación del certificado del cliente. Este servidor de autenticación se utiliza para autenticar los usuarios que se conectan. Se autenticarán todos los usuarios configurados en el servidor de autenticación local.

Puede tener un solo servidor de autenticación local de VPN-Plus de SSL configurado en la puerta de enlace Edge. Si hace clic en + LOCAL y especifica servidores de autenticación adicionales, se mostrará un mensaje de error al intentar guardar la configuración.

El tiempo máximo para autenticar a través de VPN de SSL es tres (3) minutos. Este valor máximo se determina según el tiempo de espera sin autenticación, el cual es 3 minutos de forma predeterminada y no es configurable. Como resultado, si tiene varios servidores de autenticación en la autorización en cadena y la autenticación de usuario tarda más de 3 minutos, el usuario no se autenticará.

Requisitos previos

n Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenants .

n Agregar una red privada para usarla con VPN-Plus de SSL en una puerta de enlace Edge.

n Si planea habilitar la autenticación del certificado del cliente, compruebe que se haya añadido un certificado de CA a la puerta de enlace Edge. Consulte Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL.

Procedimiento

1 Haga clic en la pestaña VPN-Plus de SSL y en Autenticación.

2 Haga clic en Local.


VMware, Inc. 121

3 Configure los ajustes del servidor de autenticación.

a (opcional) Habilite y configure la política de contraseña.


Habilitar política de contraseñas Active la aplicación de la configuración de la política de contraseñas que configure aquí.

Longitud de la contraseña Introduzca las cantidades mínima y máxima de caracteres que se permiten para la contraseña.

Cantidad mínima de letras (Opcional) Escriba la cantidad mínima de caracteres alfabéticos que se requieren en la contraseña.

Cantidad mínima de dígitos (Opcional) Escriba la cantidad mínima de caracteres numéricos que se requieren en la contraseña.

Cantidad mínima de caracteres especiales

(Opcional) Escriba la cantidad mínima de caracteres especiales, como la Y comercial (&), la almohadilla (#), el signo de porcentaje (%), entre otros, que sean necesarios en la contraseña.

La contraseña no debe contener el ID de usuario

(Opcional) Habilite esta opción para exigir que la contraseña no contenga el identificador de usuario.

La contraseña caduca en (Opcional) Escriba la cantidad máxima de días de vigencia de la contraseña, antes de que el usuario deba cambiarla.

Notificación de caducidad en (Opcional) Escriba la cantidad de días antes del valor de La contraseña caduca en que se notifica al usuario que la contraseña está a punto de caducar.

b (opcional) Habilite y configure la política de bloqueo de cuentas.


Habilitar política de bloqueo de cuentas

Active la aplicación de la configuración de la política de bloqueo de cuentas que configure aquí.

Recuento de reintentos Introduzca la cantidad de veces que un usuario puede intentar acceder a la cuenta.

Duración del reintento Introduzca el período en minutos durante el que la cuenta del usuario se bloquea tras intentos de inicio de sesión incorrectos.

Por ejemplo, si especifica Recuento de reintentos como 5 y Duración del reintento como 1 minuto, la cuenta del usuario se bloqueará tras 5 intentos de inicio de sesión incorrectos en 1 minuto.

Duración del bloqueo Introduzca el período durante el cual la cuenta del usuario permanecerá bloqueada.

Una vez transcurrido ese tiempo, la cuenta se desbloqueará automáticamente.

c En la sección Estado, habilite este servidor de autenticación.


VMware, Inc. 122

d (opcional) Configure la autenticación secundaria.


Usar este servidor para la autenticación secundaria

(Opcional) Especifique si desea utilizar el servidor como segundo nivel de autenticación.

Finalizar sesión si la autenticación no es correcta

(Opcional) Especifique si desea cerrar la sesión de VPN cuando se produzca un error en la autenticación.

e Haga clic en Conservar.

4 (opcional) Para habilitar la autenticación de certificación de clientes, haga clic en Cambiar certificado, active el botón de alternancia de habilitación, seleccione el certificado de CA que desea utilizar y haga clic en Aceptar.

Pasos siguientes

Agregue usuarios locales al servidor de autenticación local para que puedan conectarse con VPN-Plus de SSL. Consulte Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSL.

Cree un paquete de instalación que contenga el cliente SSL para que los usuarios remotos puedan instalarlo en los sistemas locales. Consulte Agregar un paquete de instalación del cliente VPN-Plus de SSL.

Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSLUtilice la pantalla Usuarios en la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director para agregar cuentas de usuarios remotos al servidor local de autenticación para el servicio VPN de SSL de puerta de enlace Edge.

Nota Si todavía no se configuró un servidor de autenticación local, al agregar un usuario a la pantalla Usuarios, se agregará automáticamente un servidor de autenticación local con valores predeterminados. A continuación, se puede utilizar el botón Editar situado en la pantalla Autenticación para ver y editar los valores predeterminados. Para obtener información sobre el uso de la pantalla Autenticación, consulte Configurar un servicio de autenticación para VPN-Plus de SSL en una puerta de enlace Edge.

Requisitos previos


Abra el portal para tenants y desplácese hasta la pantalla VPN-Plus de SSL como se describe en Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenants .


VMware, Inc. 123

Procedimiento

1 En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Usuarios.


3 En la ventana que se abre, configure las siguientes opciones para el usuario.


ID de usuario Introduzca el identificador del usuario.

Contraseña Introduzca una contraseña para el usuario.

Vuelva a escribir la contraseña Vuelva a escribir la contraseña.

Nombre (Opcional) Introduzca el nombre del usuario.

Apellido (Opcional) Introduzca el apellido del usuario.

Descripción (Opcional) Introduzca una descripción para el usuario.

Habilitado Especifique si este usuario está habilitado o deshabilitado.

La contraseña nunca caduca (Opcional) Especifique si desea conservar siempre la misma contraseña para este usuario.

Permitir cambio de contraseña (Opcional) Especifique si desea permitir que el usuario cambie la contraseña.

Cambiar contraseña la próxima vez que se inicie sesión

(Opcional) Especifique si desea que este usuario cambie la contraseña la próxima vez que inicie sesión.

4 Haga clic en Conservar para agregar esta entrada a la tabla en pantalla.

5 Repita los pasos para agregar más usuarios.

Pasos siguientes

Agregue usuarios locales al servidor de autenticación local para que puedan conectarse con VPN-Plus de SSL. Consulte Añadir usuarios de VPN-Plus de SSL al servidor local de autenticación de VPN-Plus de SSL.

Cree un paquete de instalación que contenga el cliente SSL para que los usuarios remotos puedan instalarlo en los sistemas locales. Consulte Agregar un paquete de instalación del cliente VPN-Plus de SSL.

Agregar un paquete de instalación del cliente VPN-Plus de SSLUtilice la pantalla Paquetes de instalación de la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director a fin de crear paquetes de instalación con nombre del cliente VPN-Plus de SSL para los usuarios remotos.

Puede agregar un paquete de instalación del cliente VPN-Plus de SSL a la puerta de enlace Edge. Se le pedirá a los nuevos usuarios que descarguen e instalen este paquete cuando inicien sesión para utilizar la conexión de VPN por primera vez. Cuando se agregan, estos paquetes de instalación del cliente se pueden descargar desde el FQDN de la interfaz pública de la puerta de enlace Edge.


VMware, Inc. 124

Puede crear paquetes de instalación que se ejecuten en sistemas operativos Windows, Linux y Mac. Si necesita parámetros de instalación diferentes para cada cliente VPN de SSL, cree un paquete de instalación para cada configuración.

Requisitos previos


n Para utilizar el portal para tenants de vCloud Director a fin de trabajar con la configuración de una puerta de enlace Edge, esa puerta de enlace se debe convertir en una puerta de enlace Edge avanzada. Puede hacerlo en la puerta de enlace Edge de la consola web de vCloud Director o desde el portal para tenants. Para obtener información sobre cómo realizar este paso desde el portal para tenants, consulte Convertir una puerta de enlace Edge en una puerta de enlace Edge avanzada.

Procedimiento

1 En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Paquetes de instalación.


3 Configure los ajustes del paquete de instalación.


Nombre del perfil Introduzca un nombre de perfil para este paquete de instalación.

Este nombre se mostrará al usuario remoto para identificar esta conexión VPN de SSL para la puerta de enlace Edge.

Puerta de enlace Introduzca la dirección IP o el FQDN de la interfaz pública de la puerta de enlace Edge.

Esta dirección IP o FQDN se enlazará al cliente VPN de SSL. Cuando se instale el cliente en el sistema local del usuario remoto, se mostrará esta dirección IP o FQDN en ese cliente VPN de SSL.

Para enlazar interfaces de vínculo superior de puerta de enlace Edge adicionales a este cliente VPN de SSL, utilice el icono + para agregar filas y especifique los puertos y las direcciones IP o los FQDN de interfaz.

Puerto (Opcional) Para modificar el valor de puerto predeterminado que se muestra, haga doble clic en el valor y escriba uno nuevo.

WindowsLinuxMac

Seleccione los sistemas operativos a los que desea proporcionar paquetes de instalación.

De forma predeterminada, el sistema crea un paquete de instalación para el sistema operativo Windows. Seleccione Linux o Mac para crear un paquete de instalación a fin de instalar el cliente en esos sistemas operativos.

Descripción (Opcional) Escriba una descripción para el usuario.

Habilitado Especifique si este paquete está habilitado o deshabilitado.


VMware, Inc. 125

4 Seleccione los parámetros de instalación de Windows.


Iniciar cliente al iniciar sesión Se inicia el cliente VPN de SSL cuando el usuario remoto inicia sesión en el sistema local.

Permitir recordar la contraseña El cliente puede recordar la contraseña de usuario.

Habilitar instalación en modo silencioso

Se ocultan los comandos de instalación de los usuarios remotos.

Ocultar adaptador de red del cliente SSL

Se oculta el adaptador de VPN-Plus de SSL de VMware, que se instala en el equipo del usuario remoto junto con el paquete de instalación del cliente VPN de SSL.

Ocultar icono de la bandeja del sistema del cliente

Se oculta el icono de la bandeja de VPN de SSL que indica si la conexión VPN está activa o no.

Crear icono en el escritorio Se crea un icono para invocar al cliente SSL en el escritorio de usuario.

Habilitar funcionamiento en modo silencioso

Se oculta la ventana emergente donde se indica que se completó la instalación.

Validación del certificado de seguridad del servidor

El cliente VPN de SSL valida el certificado de servidor VPN de SSL antes de establecer la conexión segura.


Pasos siguientes

Edite la configuración del cliente. Consulte Editar la configuración del cliente VPN-Plus de SSL.

Editar la configuración del cliente VPN-Plus de SSLUtilice la pantalla Configuración del cliente de la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director a fin de personalizar el modo en el que el túnel del cliente VPN de SSL debe responder cuando el usuario remoto inicia sesión en VPN de SSL.

Requisitos previos



Procedimiento

1 En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Configuración del cliente.

2 Seleccione una opción de Modo de túnel.

n En el modo de túnel dividido, solo el tráfico de VPN fluye por la puerta de enlace Edge.


VMware, Inc. 126

n En el modo de túnel completo, la puerta de enlace Edge se convierte en la puerta de enlace predeterminada para el usuario remoto y todo el tráfico (por ej., VPN, local e Internet) fluye por la puerta de enlace Edge.

3 Si selecciona el modo de túnel completo, introduzca la dirección IP de la puerta de enlace predeterminada que utilizan los clientes de los usuarios remotos y, opcionalmente, seleccione si desea excluir el tráfico de la subred local para evitar que fluya a través del túnel VPN.

4 (opcional) Deshabilite la reconexión automática.

La opción Habilitar reconexión automática está habilitada de forma predeterminada. Si la reconexión automática está habilitada, el cliente VPN de SSL volverá a conectar automáticamente a los usuarios cuando se desconecten.

5 (opcional) De manera opcional, puede habilitar la capacidad de que el cliente notifique a los usuarios remotos cuando existe una actualización de cliente disponible.

Esta opción está deshabilitada de forma predeterminada. Si habilita esta opción, los usuarios remotos pueden elegir instalar la actualización.


Personalizar la configuración general de VPN-Plus de SSL para una puerta de enlace EdgeDe forma predeterminada, el sistema establece algunos ajustes de VPN-Plus de SSL para una puerta de enlace Edge en el entorno de vCloud Director. Puede utilizar la pantalla Configuración general en la pestaña VPN-Plus de SSL en el portal para tenants de vCloud Director para personalizar esta configuración.

Requisitos previos

Desplazarse hasta la pantalla VPN-Plus de SSL en el portal para tenants .

Procedimiento

1 En la pestaña VPN-Plus de SSL del portal para tenants, haga clic en Configuración general.

2 Edite la configuración general según corresponda para satisfacer las necesidades de la organización.


Evitar varios inicios de sesión con el mismo nombre de usuario

Active esta opción para restringir un usuario remoto de modo que disponga de una sola sesión de inicio de sesión activa con el mismo nombre de usuario.

Compresión Active esta opción para habilitar la compresión de datos inteligente basada en TCP y aumentar la velocidad de la transferencia de datos.

Habilitar registro Active esta opción para mantener un registro del tráfico que pasa por la puerta de enlace VPN de SSL.

El registro está habilitado de forma predeterminada.

Forzar teclado virtual Active esta opción para exigir que los usuarios remotos utilicen un teclado virtual (en pantalla) solamente para introducir información de inicio de sesión.


VMware, Inc. 127


Aleatorizar las teclas del teclado virtual

Active esta opción para que el teclado virtual tenga un diseño de teclas aleatorio.

Tiempo de espera de sesión inactiva Introduzca el tiempo de espera de sesión inactiva en minutos.

Si no se detecta ninguna actividad en una sesión de usuario durante el período especificado, el sistema desconectará la sesión de usuario. El valor predeterminado del sistema es 10 minutos.

Notificación del usuario Escriba el mensaje que se mostrará a los usuarios remotos después de iniciar sesión.

Habilitar acceso a la URL pública Active esta opción para permitir que los usuarios remotos accedan a sitios que no se configuraron explícitamente para el acceso de usuarios remotos.

Habilitar tiempo de espera forzado Active esta opción para que el sistema desconecte a los usuarios remotos después de que se cumpla el período que especifique en el campo Tiempo de espera forzado.

Tiempo de espera forzado Escriba el período de tiempo de espera en minutos.

Este campo se muestra cuando se activa el botón de alternancia Habilitar tiempo de espera forzado.


Configurar VPN de IPsec mediante el portal para tenantsLas puertas de enlace Edge en un entorno de vCloud Director son compatibles con el protocolo de seguridad de Internet (Internet Protocol Security, IPsec) de sitio a sitio para proteger túneles VPN entre redes de centros de datos virtuales de organización, o bien entre una red de centros de datos virtuales de organización y una dirección IP externa. Si la puerta de enlace Edge del centro de datos virtual de organización se ha convertido en una puerta de enlace Edge avanzada, puede usar la pantalla VPN de IPsec del portal para tenants para configurar el servicio VPN de IPsec en esa puerta de enlace Edge.

El escenario más común implica configurar una conexión de VPN de IPsec desde una red remota hasta el centro de datos virtual de organización. El software NSX proporciona capacidades de VPN de IPsec para una puerta de enlace Edge, incluida la compatibilidad con la autenticación de certificados, el modo de clave compartida previamente, y el tráfico de unidifusión de IP entre este mismo elemento y los enrutadores VPN remotos. También puede configurar varias subredes para establecer conexiones a través de túneles de IPsec a la red interna detrás de una puerta de enlace Edge. Al configurar varias subredes para conectarse a la red interna a través de túneles de IPsec, dichas subredes y la red interna detrás de la puerta de enlace Edge no deben tener rangos de direcciones que se superpongan.

Nota Si los elementos remotos y locales de mismo nivel en un túnel IPsec tienen direcciones IP superpuestas, es posible que el reenvío de tráfico a través del túnel no sea uniforme en función de si hay rutas conectadas locales y rutas asociadas automáticamente.

Se admiten los siguientes algoritmos de VPN de IPsec:

n AES (AES128-CBC)

n AES256 (AES265-CBC)


VMware, Inc. 128

n Triple DES (3DES192-CBC)

n AES-GCM (AES128-GCM)

n DH-2 (Grupo Diffie-Hellman 2)



Nota No se admiten protocolos de enrutamiento dinámico con VPN de IPsec. Al configurar un túnel de VPN de IPsec entre una puerta de enlace Edge del centro de datos virtual de organización y una red VPN de puerta de enlace física en un sitio remoto, no se puede configurar el enrutamiento dinámico para esa conexión. El enrutamiento dinámico en el vínculo superior de puerta de enlace Edge no puede obtener la dirección IP de ese sitio remoto.

Como se describe en el tema de información general de VPN de IPSec en la guía de administración de NSX, la cantidad máxima de túneles admitidos en una puerta de enlace Edge se determina mediante el tamaño configurado: compacta, grande, extragrande y cuádruple. Para ver el tamaño de la puerta de enlace Edge, inicie sesión en la consola web de vCloud Director, desplácese hasta la puerta de enlace Edge y use la acción Propiedades para ver la configuración de la puerta de enlace Edge. Consulte la Guía del administrador de vCloud Director para obtener información sobre el uso de la consola web de vCloud Director.

La configuración de VPN de IPsec en una puerta de enlace Edge es un proceso de varios pasos.

Nota Si hay un firewall entre los endpoints del túnel, después de configurar el servicio VPN de IPsec, actualice las reglas de firewall para permitir los siguientes protocolos IP y puertos UDP:

n Protocolo IP ID 50 (ESP)

n Protocolo IP ID 51 (AH)

n Puerto UDP 500 (IKE)

n Puerto UDP 4500


VMware, Inc. 129

http://pubs.vmware.com/nsx-63/topic/com.vmware.nsx.admin.doc/GUID-6152B56B-2119-48E7-B2F2-BDDCF58B3F14.html

Requisitos previos


Procedimiento

1 Desplazarse hasta la pantalla VPN de IPsec en el portal para tenants

Si la puerta de enlace Edge para el centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, en el portal para tenants de vCloud Director puede desplazarse hasta la pantalla VPN de IPsec. En la pantalla VPN de IPsec, puede comenzar a configurar el servicio de VPN con IPsec para dicha puerta de enlace Edge.

2 Configurar conexiones de sitio de VPN de IPsec para la puerta de enlace Edge

Utilice la pantalla Sitios de VPN de IPsec del portal para tenants de vCloud Director con el fin de configurar los ajustes necesarios para crear una conexión de VPN de IPsec entre el centro de datos virtual de organización y otro sitio mediante las capacidades de VPN de IPsec de la puerta de enlace Edge.

3 Habilitar el servicio VPN de IPsec en una puerta de enlace Edge

Cuando se configura al menos una conexión de VPN de IPsec, se puede habilitar el servicio VPN de IPsec en la puerta de enlace Edge mediante el portal para tenants de vCloud Director.

4 Especificar la configuración de VPN de IPsec global

Utilice la pantalla Configuración global del portal para tenants de vCloud Director a fin de configurar la autenticación de VPN de IPsec en el nivel de puerta de enlace Edge. En esta pantalla, puede establecer una clave compartida previamente global y habilitar la autenticación de certificados.

Desplazarse hasta la pantalla VPN de IPsec en el portal para tenantsSi la puerta de enlace Edge para el centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, en el portal para tenants de vCloud Director puede desplazarse hasta la pantalla VPN de IPsec. En la pantalla VPN de IPsec, puede comenzar a configurar el servicio de VPN con IPsec para dicha puerta de enlace Edge.

Requisitos previos



VMware, Inc. 130

Procedimiento





2 Desplácese hasta VPN > VPN de IPsec.

Pasos siguientes

Utilice la pantalla Sitios de VPN de IPsec para configurar una conexión de VPN de IPsec. Para poder habilitar el servicio VPN de IPsec en la puerta de enlace Edge, se debe configurar al menos una conexión. Consulte Configurar conexiones de sitio de VPN de IPsec para la puerta de enlace Edge.

Configurar conexiones de sitio de VPN de IPsec para la puerta de enlace EdgeUtilice la pantalla Sitios de VPN de IPsec del portal para tenants de vCloud Director con el fin de configurar los ajustes necesarios para crear una conexión de VPN de IPsec entre el centro de datos virtual de organización y otro sitio mediante las capacidades de VPN de IPsec de la puerta de enlace Edge.

Cuando configure una conexión de VPN de IPsec entre sitios, la conexión se configura desde el punto de vista de la ubicación actual. Para configurar la conexión de VPN correctamente, es necesario comprender los conceptos en el contexto del entorno de vCloud Director.

n Las subredes locales y del mismo nivel especifican las redes a las que se conecta la VPN. Cuando se especifican dichas subredes en las configuraciones de sitios de VPN de IPsec, indique un rango de redes en lugar de una dirección IP específica. Utilice el formato CIDR (por ejemplo, 192.168.99.0/24).

n El identificador del mismo nivel es un identificador que identifica de manera exclusiva el dispositivo remoto que finaliza la conexión de VPN (por lo general, su dirección IP pública). Para elementos del mismo nivel con autenticación de certificados, este identificador debe ser el nombre distintivo que se ha definido en el certificado del elemento del mismo nivel. Para elementos del mismo nivel de PSK, este identificador puede ser cualquier cadena. Una práctica recomendada en NSX es utilizar la dirección IP pública del dispositivo remoto o el FQDN como el identificador del mismo nivel. Si la dirección IP del mismo nivel es de otra red de centros de datos virtuales de organización, introduzca la dirección IP nativa del mismo nivel. Si NAT está configurada para el elemento del mismo nivel, debe escribir la dirección IP privada del elemento del mismo nivel.

n El endpoint del mismo nivel especifica la dirección IP pública del dispositivo remoto al que se va a conectar. El endpoint del mismo nivel puede ser una dirección diferente del identificador del mismo nivel si no se puede acceder directamente a la puerta de enlace del elemento del mismo nivel desde Internet, sino que se conecta a través de otro dispositivo. Si NAT está configurada para el elemento del mismo nivel, debe escribir la dirección IP pública que utilizan los dispositivos para NAT.


VMware, Inc. 131

n El identificador local especifica la dirección IP pública de la puerta de enlace Edge del centro de datos virtual de organización. Puede introducir una dirección IP o un nombre de host junto con el firewall de la puerta de enlace Edge.

n El endpoint local especifica la red en el centro de datos virtual de organización en la que transmite la puerta de enlace Edge. Por lo general, la red externa de la puerta de enlace Edge es el endpoint local.

Requisitos previos

n Configurar VPN de IPsec mediante el portal para tenants.

n Desplazarse hasta la pantalla VPN de IPsec en el portal para tenants .

n Si decide utilizar un certificado global como el método de autenticación, compruebe que la autenticación de certificados esté habilitada en la pantalla Configuración global. Consulte Especificar la configuración de VPN de IPsec global.

Procedimiento





2 En la pestaña VPN de IPsec, haga clic en Sitios de VPN de IPsec.


4 Configure los ajustes de la conexión de VPN de IPsec.

Opción Acción

Habilitado Habilite esta conexión entre los dos endpoints de VPN.

Habilitar confidencialidad directa total (PFS)

Habilite esta opción para que el sistema genere claves públicas exclusivas para todas las sesiones de VPN de IPsec que inician los usuarios.

La habilitación de PFS garantiza que el sistema no cree un vínculo entre la clave privada de la puerta de enlace Edge y cada clave de sesión.

El compromiso de una clave de sesión solo afecta a los datos que se intercambian en la sesión específica protegida por dicha clave. No se puede utilizar el compromiso de la clave privada del servidor para descifrar las sesiones archivadas o las futuras.

Cuando se habilita PFS, las conexiones de VPN de IPsec a esta puerta de enlace Edge experimentan una ligera sobrecarga de procesamiento.

Importante No deben utilizarse las claves de sesión exclusivas para obtener claves adicionales. Adicionalmente, ambos lados del túnel VPN de IPsec deben ser compatibles con PFS para que funcione.

Nombre (Opcional) Escriba un nombre para la conexión.


VMware, Inc. 132

Opción Acción

ID local Introduzca la dirección IP externa de la instancia de puerta de enlace Edge, la cual es la dirección IP pública de la puerta de enlace Edge.

La dirección IP es la que se utiliza para el identificador del mismo nivel en la configuración de VPN de IPsec en el sitio remoto.

Endpoint local Introduzca la red que es el endpoint local para esta conexión.

El endpoint local especifica la red en el centro de datos virtual de organización en la que transmite la puerta de enlace Edge. Por lo general, la red externa es el endpoint local.

Nota Si agrega un túnel de IP a IP con una clave compartida previamente, el identificador local y la IP de endpoint local pueden ser iguales.

Subredes locales Introduzca las redes que se compartirán entre los sitios y separe las subredes con comas si desea especificar varias.

Nota Introduzca un rango de redes (no una dirección IP específica). Para ello, escriba la dirección IP con el formato CIDR (por ejemplo, 192.168.99.0/24).

ID del mismo nivel Introduzca un identificador del mismo nivel para identificar de manera exclusiva el sitio del mismo nivel.

El identificador del mismo nivel es un identificador que identifica de manera exclusiva el dispositivo remoto que finaliza la conexión de VPN (por lo general, su dirección IP pública).

Para elementos del mismo nivel con autenticación de certificados, este identificador debe ser el nombre distintivo en el certificado del elemento del mismo nivel. Para elementos del mismo nivel de PSK, este identificador puede ser cualquier cadena. Una práctica recomendada de NSX consiste en utilizar el FQDN o la dirección IP pública del dispositivo remoto como el identificador del mismo nivel.

Si la dirección IP del mismo nivel es de otra red de centros de datos virtuales de organización, introduzca la dirección IP nativa del mismo nivel. Si NAT se configura para el elemento del mismo nivel, debe introducir la dirección IP privada del mismo nivel.

Endpoint del mismo nivel Introduzca la dirección IP o el FQDN del sitio del mismo nivel, que es la dirección de acceso público del dispositivo remoto al que se va a conectar.

Nota Cuando NAT está configurada para el elemento del mismo nivel, escriba la dirección IP pública que el dispositivo utiliza para NAT.

Subredes del mismo nivel Introduzca la red remota a la que se conecta la VPN y separe las subredes con comas si desea especificar varias.

Nota Introduzca un rango de redes (no una dirección IP específica). Para ello, escriba la dirección IP con el formato CIDR (por ejemplo, 192.168.99.0/24).

Algoritmo de cifrado En la lista desplegable, seleccione el tipo de algoritmo de cifrado.

Nota El tipo de cifrado que seleccione debe coincidir con el tipo de cifrado que se ha configurado en el dispositivo VPN del sitio remoto.


VMware, Inc. 133

Opción Acción

Autenticación Seleccione un tipo de autenticación. Las opciones son las siguientes:

n PSK

La clave compartida previamente (Pre Shared Key, PSK) especifica que la clave secreta compartida entre la puerta de enlace Edge y el sitio del mismo nivel se utilizará para la autenticación.

n Certificado

La autenticación de certificados especifica que el certificado definido en el nivel global se utilizará para la autenticación. Esta opción no está disponible a menos que se haya configurado el certificado global en la pantalla Configuración global de la pestaña VPN de IPsec.

Cambiar clave compartida (Opcional) Al actualizar la configuración de una conexión existente, puede activar esta opción para que el campo Clave compartida previamente esté disponible, de modo que pueda actualizar la clave compartida.

Clave compartida previamente Si ha seleccionado PSK como el tipo de autenticación, escriba una cadena secreta alfanumérica, la cual puede ser una cadena con una longitud máxima de 128 bytes.

Nota La clave compartida debe coincidir con la clave que está configurada en el dispositivo VPN del sitio remoto. Una práctica recomendada consiste en configurar una clave compartida si algún sitio anónimo se va a conectar con el servicio VPN.

Mostrar clave compartida (Opcional) Habilite esta opción para que la clave compartida se muestre en la pantalla.

Grupo Diffie-Hellman Seleccione el esquema de criptografía que permite al sitio del mismo nivel y a esta puerta de enlace Edge establecer un secreto compartido en un canal de comunicaciones no seguro.

Nota El grupo Diffie-Hellman debe coincidir con la configuración del dispositivo VPN del sitio remoto.

Extensión (Opcional) Escriba una de las siguientes opciones:

n securelocaltrafficbyip=IPAddress para redirigir el tráfico local de la puerta de enlace Edge a través del túnel VPN de IPsec.

Este el valor predeterminado.

n passthroughSubnets=PeerSubnetIPAddress para dar soporte a subredes superpuestas.




Pasos siguientes

Configure la conexión para el sitio remoto. Debe configurar la conexión de VPN de IPsec en ambos lados de la conexión: el centro de datos virtual de organización y el sitio del mismo nivel.


VMware, Inc. 134

Habilite el servicio VPN de IPsec en esta puerta de enlace Edge. Cuando haya configurado al menos una conexión de VPN de IPsec, podrá habilitar el servicio. Consulte Habilitar el servicio VPN de IPsec en una puerta de enlace Edge.

Habilitar el servicio VPN de IPsec en una puerta de enlace EdgeCuando se configura al menos una conexión de VPN de IPsec, se puede habilitar el servicio VPN de IPsec en la puerta de enlace Edge mediante el portal para tenants de vCloud Director.

Requisitos previos


n Compruebe que se ha configurado al menos una conexión de VPN de IPsec para esta puerta de enlace Edge. Consulte los pasos descritos en Configurar conexiones de sitio de VPN de IPsec para la puerta de enlace Edge.

Procedimiento

1 En la pestaña VPN de IPsec, haga clic en Estado de activación.

2 Haga clic en el Estado del servicio VPN de IPsec para habilitar el servicio VPN de IPsec.


Resultados

El servicio VPN de IPsec de la puerta de enlace Edge está activo.

Especificar la configuración de VPN de IPsec globalUtilice la pantalla Configuración global del portal para tenants de vCloud Director a fin de configurar la autenticación de VPN de IPsec en el nivel de puerta de enlace Edge. En esta pantalla, puede establecer una clave compartida previamente global y habilitar la autenticación de certificados.

Una clave compartida previamente global se utiliza para los sitios cuyo endpoint del mismo nivel se establece como cualquiera.

Requisitos previos

n Si pretende habilitar la autenticación de certificados, compruebe que tiene al menos un certificado de servicio y los certificados firmados por CA correspondientes en la pantalla Certificados del portal para tenants. No se pueden utilizar certificados autofirmados para VPN de IPsec. Consulte Agregar un certificado de servicio a la puerta de enlace Edge.




VMware, Inc. 135

Procedimiento





2 En la pestaña VPN de IPsec, haga clic en Configuración global.

3 (opcional) Establezca una clave compartida previamente global:

a Habilite la opción Cambiar clave compartida.

b Introduzca una clave compartida previamente.

La clave compartida previamente (PSK) global la comparten todos los sitios cuyo endpoint del mismo nivel se haya establecido como any (cualquiera). Si ya se ha establecido una PSK global, cambiarla a un valor vacío y guardarla no tendrá ningún efecto en la configuración existente.

c (opcional) Opcionalmente, habilite Mostrar clave compartida para que la clave compartida previamente sea visible.

d Haga clic en Guardar cambios.

4 Configure la autenticación de certificados:

a Active Habilitar autenticación de certificado.

b Seleccione los certificados de servicio, las CRL y los certificados de CA adecuados.

c Haga clic en Guardar cambios.

Pasos siguientes

Opcionalmente, puede habilitar el registro para el servicio VPN de IPsec de la puerta de enlace Edge. Consulte Estadísticas y registros en el portal para tenants de vCloud Director.

Configurar VPN de capa 2 mediante el portal para tenantsLas puertas de enlace Edge en un entorno de vCloud Director admiten VPN de capa 2. VPN de capa 2 permite ampliar el centro de datos virtual de organización al permitir que las máquinas virtuales conserven la conectividad de red sin necesidad de cambiar la dirección IP entre ubicaciones geográficas. Si la puerta de enlace Edge del centro de datos virtual de organización se ha convertido en una puerta de enlace Edge avanzada, puede usar la pantalla VPN de capa 2 del portal para tenants para configurar el servicio VPN de capa 2 en esa puerta de enlace Edge.

El software NSX proporciona las capacidades de VPN de capa 2 para una puerta de enlace Edge. La VPN de capa 2 permite configurar un túnel entre dos sitios. Las máquinas virtuales permanecen en la misma subred a pesar de moverse entre estos sitios, lo que permite ampliar el centro de datos virtual de organización mediante la extensión de su red con VPN de capa 2. Una puerta de enlace Edge en un sitio puede proporcionar todos los servicios a las máquinas virtuales en el otro sitio.


VMware, Inc. 136

Para crear el túnel VPN de capa 2, debe configurar un servidor VPN de capa 2 y un cliente VPN de capa 2. Como se describe en la guía de administración de NSX, el servidor VPN de capa 2 es la puerta de enlace Edge de destino y el cliente VPN de capa 2 es la puerta de enlace Edge de origen. Después de configurar los ajustes de VPN de capa 2 en cada puerta de enlace Edge, debe habilitar el servicio VPN de capa 2 en el servidor y el cliente.

Nota Las puertas de enlace Edge deben contener una red de centros de datos virtuales de organización enrutada, que se debe haber creado como una subinterfaz. Consulte Guía del administrador de vCloud Director para conocer los pasos de creación de una red de centros de datos virtuales de organización enrutada externa.

Requisitos previos


Desplazarse hasta la pantalla VPN de capa 2 en el portal para tenantsSi la puerta de enlace Edge para el centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede desplazarse a la pantalla VPN de capa 2 del portal para tenants de vCloud Director para comenzar a configurar el servicio VPN de capa 2 de esa puerta de enlace Edge.

Requisitos previos


Procedimiento





2 Desplácese hasta VPN > VPN de capa 2.

Pasos siguientes

Configure el servidor de VPN de capa 2. Consulte Configurar la puerta de enlace Edge como un servidor VPN de capa 2.


VMware, Inc. 137

Configurar la puerta de enlace Edge como un servidor VPN de capa 2El servidor VPN de capa 2 es la instancia de NSX Edge de destino a la que se conectará el cliente VPN de capa 2.

Tal como se describe en la guía de administración de NSX, puede conectar varios sitios del mismo nivel a este servidor VPN de capa 2.

Nota Al cambiar la configuración del sitio, la puerta de enlace Edge interrumpe y vuelve a establecer todas las conexiones existentes.

Requisitos previos

n Compruebe que la puerta de enlace Edge tiene una red de centros de datos virtuales de organización enrutada que se haya configurado como una subinterfaz en la puerta de enlace Edge. Consulte Guía del administrador de vCloud Director para conocer los pasos de creación de una red de centros de datos virtuales de organización enrutada externa.

n Desplazarse hasta la pantalla VPN de capa 2 en el portal para tenants

n Si desea enlazar un certificado de servicio a la conexión de VPN de capa 2, compruebe que el certificado de servidor ya se ha cargado en la puerta de enlace Edge. Consulte Agregar un certificado de servicio a la puerta de enlace Edge.

n Debe configurar la dirección IP de escucha del servidor, el puerto de escucha, el algoritmo de cifrado y al menos un sitio del mismo nivel para habilitar el servicio VPN de capa 2.

Procedimiento

1 En la pestaña VPN de capa 2, seleccione Servidor para el modo de VPN de capa 2.

2 En la pestaña Servidor global, ajuste los detalles de configuración global del servidor VPN de capa 2.

Opción Acción

IP de escucha Seleccione la dirección IP principal o secundaria de una interfaz externa de la puerta de enlace Edge.

Puerto de escucha Edite el valor que se muestra según las necesidades de su organización.

El puerto predeterminado para el servicio VPN de capa 2 es 443.

Algoritmo de cifrado Seleccione el algoritmo de cifrado para la comunicación entre el servidor y el cliente.

Detalles del certificado de servicio Haga clic en Cambiar certificado del servidor para seleccionar el certificado que se enlazará al servidor VPN de capa 2.

En la ventana Cambiar certificado del servidor, active Validar certificado de servidor, seleccione un certificado de servidor de la lista y haga clic en Aceptar.

3 Para configurar los sitios del mismo nivel, haga clic en la pestaña Sitios de servidor.



VMware, Inc. 138

5 Configure los ajustes para un sitio del mismo nivel de VPN de capa 2.

Opción Acción

Habilitado Habilite este sitio del mismo nivel.

Nombre Introduzca un nombre único para este sitio del mismo nivel.

Descripción (Opcional) Introduzca una descripción.

ID de usuarioContraseñaConfirmar contraseña

Introduzca el nombre de usuario y la contraseña con los que se autenticará el sitio del mismo nivel.

Las credenciales de usuario en el sitio del mismo nivel deben ser las mismas que las del lado cliente.

Interfaces extendidas Seleccione las subinterfaces que se ampliarán con el cliente.

Las subinterfaces que se pueden seleccionar son aquellas redes de centros de datos virtuales de organización que se han configurado como subinterfaces en la puerta de enlace Edge.

Dirección de puerta de enlace de optimización de salida

(Opcional) Si la puerta de enlace predeterminada para máquinas virtuales es la misma en los dos sitios, introduzca las direcciones IP de puerta de enlace de las subinterfaces para las que desea enrutar o bloquear el tráfico de forma local en el túnel VPN de capa 2.




Pasos siguientes

Habilite el servicio VPN de capa 2 en esta puerta de enlace Edge. Consulte Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge.

Configurar la puerta de enlace Edge como un cliente VPN de capa 2El cliente VPN de capa 2 es la instancia de NSX Edge de origen que inicia la comunicación con la instancia de NSX Edge de destino (el servidor VPN de capa 2).

Requisitos previos

n Desplazarse hasta la pantalla VPN de capa 2 en el portal para tenants .

n Si este cliente VPN de capa 2 se conecta con un servidor VPN de capa 2 que usa un certificado de servidor, compruebe que el certificado de CA correspondiente esté cargado en la puerta de enlace Edge para habilitar la validación del certificado de servidor para este cliente VPN de capa 2. Consulte Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSL.

Procedimiento

1 En la pestaña VPN de capa 2, seleccione Cliente para el modo de VPN de capa 2.


VMware, Inc. 139

2 En la pestaña Cliente global, ajuste los detalles de configuración global del cliente VPN de capa 2.


Dirección de servidor Introduzca la dirección IP del servidor VPN de capa 2 al que se conectará este cliente.

Puerto de servidor Introduzca el puerto del servidor VPN de capa 2 al que se debe conectar el cliente.

El puerto predeterminado es 443.

Algoritmo de cifrado Seleccione el algoritmo de cifrado para comunicarse con el servidor.

Interfaces extendidas Seleccione las subinterfaces que se ampliarán al servidor.

Las subinterfaces que se pueden seleccionar son las redes de centros de datos virtuales de organización que se han configurado como subinterfaces en la puerta de enlace Edge.

Dirección de puerta de enlace de optimización de salida

(Opcional) Si la puerta de enlace predeterminada para las máquinas virtuales es la misma en los dos sitios, escriba las direcciones IP de puerta de enlace de las subinterfaces o las direcciones IP a las que no debe fluir el tráfico a través del túnel.

Detalles del usuario Introduzca el identificador de usuario y la contraseña para la autenticación con el servidor.



4 (opcional) Para configurar las opciones avanzadas, haga clic en la pestaña Cliente avanzado.

5 Si esta instancia de Edge de cliente VPN de capa 2 no tiene acceso directo a Internet y necesita llegar a la instancia de Edge de servidor VPN de capa 2 mediante un servidor proxy, especifique la configuración de proxy.


Habilitar proxy seguro Seleccione esta opción para habilitar el proxy seguro.

Dirección Introduzca la dirección IP del servidor proxy.

Puerto Introduzca el puerto del servidor proxy.

Nombre de usuarioContraseña

Introduzca las credenciales de autenticación del servidor proxy.

6 Para habilitar la validación de certificación de servidores, haga clic en Cambiar certificado de CA y

seleccione el certificado de CA correspondiente.



Pasos siguientes

Habilite el servicio VPN de capa 2 en esta puerta de enlace Edge. Consulte Habilitar el servicio VPN de capa 2 en una puerta de enlace Edge.


VMware, Inc. 140

Habilitar el servicio VPN de capa 2 en una puerta de enlace EdgeCuando se configuran los ajustes obligatorios de VPN de capa 2, es posible habilitar el servicio VPN de capa 2 en la puerta de enlace Edge mediante el portal para tenants de vCloud Director.

Nota Si ya se configuró HA en esta puerta de enlace Edge, asegúrese de que la puerta de enlace Edge contenga más de una interfaz interna configurada. Si existe una sola interfaz y ya ha sido utilizada para la capacidad HA, se producirá un error en la configuración de VPN de capa 2 en la misma interfaz interna.

Requisitos previos

n Si esta puerta de enlace Edge es un servidor VPN de capa 2, la instancia de NSX Edge de destino, compruebe que se hayan configurado los ajustes obligatorios del servidor VPN de capa 2 y al menos un sitio del mismo nivel de VPN de capa 2. Consulte los pasos descritos en Configurar la puerta de enlace Edge como un servidor VPN de capa 2.

n Si esta puerta de enlace Edge es un cliente VPN de capa 2, la instancia de NSX Edge de origen, compruebe que se hayan configurado los ajustes del cliente VPN de capa 2. Consulte los pasos descritos en Configurar la puerta de enlace Edge como un cliente VPN de capa 2.

n Desplazarse hasta la pantalla VPN de capa 2 en el portal para tenants .

Procedimiento

1 En la pestaña VPN de capa 2 del portal para tenants, haga clic en el botón de alternancia Habilitar.


Resultados

Se activará el servicio VPN de capa 2 de la puerta de enlace Edge.

Pasos siguientes

Cree reglas de firewall o NAT en el lado del firewall orientado a Internet para que el servidor VPN de capa 2 pueda conectarse con el cliente VPN de capa 2.

Quitar la configuración del servicio VPN de capa 2 de una puerta de enlace EdgeSi la puerta de enlace Edge del centro de datos virtual de organización se ha convertido en una puerta de enlace Edge avanzada, puede utilizar la pantalla VPN de capa 2 del portal para tenants para quitar la configuración existente del servicio VPN de capa 2 de la puerta de enlace Edge. Esta acción también deshabilita el servicio VPN de capa 2 en la puerta de enlace Edge.

Requisitos previos

n Desplazarse hasta la pantalla VPN de capa 2 en el portal para tenants


VMware, Inc. 141


Procedimiento

1 Desplácese hasta la parte inferior de la pantalla VPN de capa 2 y haga clic en Eliminar configuración.

2 Para confirmar la eliminación, haga clic en Aceptar.

Resultados

Se deshabilitará el servicio VPN de capa 2 y se quitarán los detalles de configuración de la puerta de enlace Edge.

Administrar certificados SSL mediante el portal para tenantsEl software NSX en el entorno de vCloud Director ofrece la posibilidad de utilizar certificados de capa de sockets seguros (Secure Sockets Layer, SSL) con túneles VPN-Plus de SSL y VPN de IPsec que configura para las puertas de enlace Edge. Si la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director para trabajar con los certificados de esa puerta de enlace Edge.

Las puertas de enlace Edge del entorno de vCloud Director admiten certificados autofirmados, certificados firmados por una entidad de certificación (Certification Authority, CA) y certificados generados y firmados por una CA. Mediante el portal para tenants, puede generar solicitudes de firma de certificados (Certificate Signing Request, CSR), importar los certificados, administrar los certificados importados y crear listas de revocación de certificados (Certificate Revocation List, CRL).

Acerca del uso de certificados con un centro de datos virtual de organizaciónPuede administrar certificados para las siguientes áreas de redes del centro de datos virtual de organización de vCloud Director.

n Los túneles VPN de IPsec entre una red de centros de datos virtuales de organización y una red remota.

n Las conexiones VPN-Plus de SSL entre usuarios remotos con redes privadas y recursos web del centro de datos virtual de organización.

n Un túnel VPN de 2 capas entre dos puertas de enlace Edge de NSX.

n Los servidores virtuales y los servidores de grupos configurados para el equilibrio de carga en el centro de datos virtual de organización.


VMware, Inc. 142

Cómo utilizar certificados de clientePuede crear un certificado de cliente mediante un comando CAI o una llamada de REST. A continuación, puede distribuir este certificado a los usuarios remotos, quienes pueden instalarlo en sus navegadores web.

La ventaja principal de la implementación de certificados de cliente consiste en que se puede almacenar un certificado de cliente de referencia para cada usuario remoto y se puede comparar con el certificado de cliente que presenta el usuario remoto. Para impedir que un usuario determinado se conecte en el futuro, puede eliminar el certificado de referencia de la lista de certificados de cliente del servidor de seguridad. Al eliminar el certificado, se denegarán las conexiones de ese usuario.

Generar una solicitud de firma de certificado para una puerta de enlace EdgePara poder solicitar un certificado firmado de una entidad de certificación o crear un certificado autofirmado mediante el portal para tenants de vCloud Director, debe generar una solicitud de firma del certificado (Certificate Signing Request, CSR) para la puerta de enlace Edge. Si la puerta de enlace Edge para el centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar la pantalla Certificados del portal para tenants para generar instancias de CSR.

Una solicitud CSR es un archivo codificado que se debe generar en una puerta de enlace NSX Edge para la que se requiere un certificado SSL. El uso de una CSR estandariza la manera en que las empresas envían sus claves públicas junto con la información para identificar sus nombres de empresa y nombres de dominio.

La solicitud CSR se genera con un archivo de clave privada coincidente que se debe conservar en la puerta de enlace Edge. La solicitud CSR contiene la clave pública coincidente y otros datos, como el nombre, la ubicación y el nombre de dominio de la organización.

Procedimiento





2 Haga clic en la pestaña Certificados.

3 Haga clic en CSR.


VMware, Inc. 143

4 Configure las opciones de CSR.


Nombre común Escriba el nombre de dominio completo (Fully-Qualified Domain Name, FQDN) de la organización para la que planea utilizar el certificado (por ejemplo, www.example.com).

No incluya los prefijos http:// ni https:// en el nombre común.

Unidad de organización Utilice este campo para distinguir entre las divisiones dentro de su organización de vCloud Director con las que se asocia este certificado.

Por ejemplo, Ingeniería o Ventas.

Nombre de organización Escriba el nombre con el que está registrada legalmente la empresa.

La organización enumerada debe ser el responsable legal del registro del nombre de dominio en la solicitud de certificado.

Localidad Especifique la ciudad en la que se ha registrado legalmente la empresa.

Nombre del estado o de la provincia Escriba el nombre completo (no utilice abreviaturas) del estado, de la provincia, de la región o del territorio donde se registró legalmente la empresa.

Código de país Escriba el nombre del país donde se registró legalmente la empresa.

Algoritmo de clave privada Escriba el tipo de clave (RSA o DSA) para el certificado.

Por lo general, se utiliza RSA. El tipo de clave define el algoritmo de cifrado para la comunicación entre los hosts.

Nota VPN-Plus de SSL admite solamente certificados RSA.

Tamaño de clave Escriba el tamaño de la clave en bits.

El valor mínimo es de 2.048 bits.

Descripción (Opcional) Escriba una descripción para el certificado.


El sistema generará la solicitud CSR y agregará una nueva entrada con el tipo CSR a la lista en pantalla.

Resultados

En la lista en pantalla, al seleccionar una entrada con el tipo CSR, se mostrarán los detalles de la instancia de CSR. Puede copiar los datos de la CSR con formato PEM que se muestran y enviarlos a una entidad de certificación (Certificate Authority, CA) para obtener un certificado firmado por CA.

Pasos siguientes

Utilice la solicitud CSR para crear un certificado de servicio mediante una de estas dos opciones:

n Transmita la solicitud CSR a una entidad de certificación para obtener un certificado firmado por una CA. Cuando la entidad de certificación le envíe el certificado firmado, importe el certificado al sistema. Consulte Importar el certificado firmado por CA correspondiente a la solicitud CSR generada para una puerta de enlace Edge.

n Utilice la solicitud CSR para crear un certificado autofirmado. Consulte Configurar un certificado de servicio autofirmado.


VMware, Inc. 144

Importar el certificado firmado por CA correspondiente a la solicitud CSR generada para una puerta de enlace EdgeDespués de utilizar el portal para tenants de vCloud Director para generar una solicitud de firma del certificado (Certificate Signing Request, CSR) y obtener el certificado firmado por una entidad de certificación en función de esa CSR, puede importar el certificado firmado por CA que utilizará la puerta de enlace Edge.

Requisitos previos


Compruebe que ha obtenido el certificado firmado por CA correspondiente a la solicitud CSR. Si la clave privada en el certificado firmado por CA no coincide con la de la CSR seleccionada, se producirá un error en el proceso de importación.

Procedimiento






3 Seleccione la solicitud CSR de la tabla en pantalla para la que desea importar el certificado firmado por CA.

4 Importe el certificado firmado.

a Haga clic en Certificado firmado generado para CSR.

b Proporcione los datos PEM del certificado firmado por CA.

n Si los datos se encuentran en un archivo PEM en un sistema al que puede desplazarse, haga clic en el botón Cargar para buscar el archivo y seleccionarlo.

n Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado firmado (formato PEM).

Incluya las líneas -----BEGIN CERTIFICATE----- y -----END CERTIFICATE-----.


VMware, Inc. 145

c (opcional) Introduzca una descripción.

d Haga clic en Conservar.

Nota Si la clave privada en el certificado firmado por CA no coincide con la de la instancia de CSR seleccionada en la pantalla Certificados, se producirá un error en el proceso de importación.

Resultados

El certificado firmado por CA con el tipo Certificado de servicio se mostrará en la lista en pantalla.

Pasos siguientes

Adjunte el certificado firmado por CA a los túneles VPN-Plus de SSL o VPN de IPsec según sea necesario. Consulte Configurar ajustes de un servidor VPN de SSL y Especificar la configuración de VPN de IPsec global.

Configurar un certificado de servicio autofirmadoPuede configurar certificados de servicio autofirmados con las puertas de enlace Edge para utilizarlos en sus capacidades relacionadas con VPN. Si la puerta de enlace Edge para el centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar la pantalla Certificados del portal para tenants de vCloud Director a fin de crear, instalar y administrar certificados autofirmados.

Si el certificado de servicio está disponible en la pantalla Certificados, puede especificar ese certificado de servicio al configurar las opciones relacionadas con la VPN de la puerta de enlace Edge. VPN presenta el certificado de servicio especificado a los clientes con acceso a VPN.

Requisitos previos

Compruebe que hay disponible al menos una instancia de CSR en la pantalla Certificados del portal para tenants cuando abre dicho portal para la puerta de enlace Edge. Para obtener información, consulte Generar una solicitud de firma de certificado para una puerta de enlace Edge.

Procedimiento






3 Seleccione la CSR en la lista que desea utilizar para este certificado autofirmado y haga clic en Autofirmar CSR.

4 Escriba la cantidad de días que será válido el certificado autofirmado.


VMware, Inc. 146


El sistema generará un certificado autofirmado y agregará una nueva entrada con el tipo Certificado de servicio a la lista en pantalla.

Resultados

El certificado autofirmado quedará disponible en la puerta de enlace Edge. En la lista en pantalla, al seleccionar una entrada con el tipo Certificado de servicio, se mostrarán sus detalles en la pantalla.

Agregar un certificado de CA a la puerta de enlace Edge para la verificación de confianza de certificados SSLAl agregar un certificado de CA a una puerta de enlace Edge, es posible verificar la confianza de los certificados SSL que se presentan a la puerta de enlace Edge para la autenticación, por lo general, los certificados de cliente que se utilizan en las conexiones de VPN a la puerta de enlace Edge.

Por lo general, se agrega el certificado raíz de la empresa o la organización como un certificado de CA. Un uso típico es VPN de SSL, donde se deben autenticar los clientes VPN con certificados. Los certificados de cliente pueden distribuirse a los clientes VPN y, cuando los clientes VPN se conectan, se validan sus certificados de cliente con el certificado de CA.

Nota Al agregar un certificado de CA, generalmente se configura una lista de revocación de certificados (Certificate Revocation List, CRL) relevante. La CRL protege contra los clientes que presentan certificados revocados. Si desea obtener los pasos para agregar una CRL a la puerta de enlace Edge, consulte Agregar una lista de revocación de certificados a una puerta de enlace Edge.

Requisitos previos

Compruebe que los datos de certificado de CA se encuentren en formato PEM. En la interfaz de usuario, puede pegar los datos PEM del certificado de CA, o desplazarse hasta un archivo que contenga los datos y esté disponible en la red desde el sistema local.


Procedimiento






3 Haga clic en Certificado de CA.


VMware, Inc. 147

4 Proporcione los datos del certificado de CA.


n Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado de CA (formato PEM).


5 (opcional) Introduzca una descripción.


Resultados

El certificado de CA con el tipo Certificado de CA se mostrará en la lista en pantalla. Este certificado de CA ahora se puede especificar al configurar las opciones relacionadas con VPN de la puerta de enlace Edge.

Agregar una lista de revocación de certificados a una puerta de enlace EdgeUna lista de revocación de certificados (Certificate Revocation List, CRL) es una lista de números de serie de certificados que la entidad de certificación (Certificate Authority, CA) emisora asegura que se revocaron a fin de que los sistemas se puedan actualizar para que no confíen en los usuarios que presenten dichos certificados revocados. Si la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director a fin de agregar CRL a la puerta de enlace Edge.

Como se describe en la guía de administración de NSX, la CRL contiene los siguientes elementos:

n Los certificados revocados y los motivos de la revocación

n Las fechas de emisión de los certificados

n Las entidades que emitieron los certificados

n Una fecha propuesta para la próxima versión

Cuando un usuario potencial intenta acceder a un servidor, el servidor permite o deniega el acceso basado en la entrada de CRL para ese usuario en particular.

Requisitos previos



VMware, Inc. 148

Procedimiento






3 Haga clic en CRL.

4 Proporcione los datos de la CRL.

n Si los datos provienen de un archivo PEM en un sistema al que se puede desplazar, haga clic en el botón Importar para buscar el archivo y seleccionarlo.

n Si puede copiar y pegar los datos PEM, pegue los datos en el campo CRL (formato PEM).

Incluya las líneas -----BEGIN X509 CRL----- y -----END X509 CRL-----.



Resultados

La CRL se mostrará en la lista en pantalla.

Agregar un certificado de servicio a la puerta de enlace EdgeCuando se agregan certificados de servicio a una puerta de enlace Edge, dichos certificados se pueden utilizar en la configuración relacionada con VPN de la puerta de enlace Edge. Si la puerta de enlace Edge para el centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede agregar un certificado de servicio a la pantalla Certificados del portal para tenants.

Requisitos previos

Compruebe que el certificado de servicio y su clave privada se encuentren en formato PEM. En la interfaz de usuario, puede pegar los datos PEM o desplazarse hasta un archivo que contenga los datos y esté disponible en la red desde el sistema local.



VMware, Inc. 149

Procedimiento






3 Haga clic en Certificado de servicio.

4 Introduzca los datos con formato PEM del certificado de servicio.


n Si puede copiar y pegar los datos PEM, pegue los datos en el campo Certificado de servicio (formato PEM).


5 Introduzca los datos con formato PEM de la clave privada del certificado.

n Si los datos provienen de un archivo PEM en un sistema al que se puede desplazar, haga clic en el botón Importar para buscar el archivo y seleccionarlo.

n Si puede copiar y pegar los datos PEM, pegue los datos en el campo Clave privada (formato PEM).

Incluya las líneas -----BEGIN RSA PRIVATE KEY----- y -----END RSA PRIVATE KEY-----.

6 Escriba una frase de contraseña de clave privada y confírmela.



Resultados

El certificado con el tipo Certificado de servicio se mostrará en la lista en pantalla. Este certificado de servicio ahora se puede seleccionar al configurar las opciones relacionadas con VPN de la puerta de enlace Edge.

Objetos de agrupamiento personalizadosEl software NSX del entorno de vCloud Director proporciona la capacidad de definir conjuntos y grupos de determinadas entidades, que puede utilizar más adelante cuando especifique otras configuraciones relacionadas con la red, como en las reglas de firewall.


VMware, Inc. 150

Crear un conjunto de direcciones IP para usarlas en las reglas de firewall y la configuración de retransmisión de DHCPUn conjunto de direcciones IP es un grupo de direcciones IP que se pueden agregar como el origen o el destino en una regla de firewall o en la configuración de retransmisión de DHCP.

Para crear un conjunto de direcciones IP, utilice la página Objetos de agrupamiento del portal para tenants de vCloud Director. La página Objetos de agrupamiento está disponible en las pantallas Firewall distribuido y Puerta de enlace Edge.

Requisitos previos


Procedimiento

1 Inicie los servicios de puerta de enlace Edge o los servicios de seguridad.

n Para iniciar los servicios de puerta de enlace Edge:

a Desplácese hasta Red > Instancias de Edge.


n Para iniciar los servicios de seguridad:

a Desplácese hasta Red > Seguridad.

b Seleccione el servicio de seguridad que desea editar y haga clic en Configurar servicios.

2 Haga clic en la pestaña Objetos de agrupamiento.

3 Si aún no se ha mostrado, haga clic en la pestaña Conjuntos de direcciones IP para mostrar la pantalla Conjuntos de direcciones IP.

En la pantalla se muestran los conjuntos de direcciones IP que ya están definidos.

4 Haga clic en el icono + para agregar un nuevo conjunto de direcciones IP.

5 Escriba un nombre para el conjunto, una descripción opcional y las direcciones IP que se incluirán en el conjunto.

6 (opcional) Si va a especificar el conjunto de direcciones IP mediante la página Objetos de agrupamiento en la pantalla Firewall distribuido, utilice el botón de alternancia Herencia para habilitar la herencia y permitir la visibilidad en ámbitos subyacentes.

Herencia está habilitada de forma predeterminada.

7 Para guardar el conjunto de direcciones IP, haga clic en Conservar.


VMware, Inc. 151

Resultados

El nuevo conjunto de direcciones IP puede seleccionarse como el origen o el destino en las reglas de firewall o en la configuración de retransmisión de DHCP.

Crear un conjunto de direcciones MAC para utilizarlas en las reglas de firewallUn conjunto de direcciones MAC es un grupo de direcciones MAC que se pueden agregar como el origen o el destino en una regla de firewall.

Para crear un conjunto de direcciones MAC, utilice la página Objetos de agrupamiento del portal para tenants de vCloud Director. La página Objetos de agrupamiento está disponible en las pantallas Firewall distribuido y Puerta de enlace Edge.

Requisitos previos


Procedimiento








2 Haga clic en Objetos de agrupamiento.

3 Haga clic en la pestaña Conjuntos de direcciones MAC.

En la pantalla se muestran los conjuntos de direcciones MAC que ya están definidos.

4 Haga clic en el icono + para agregar un nuevo conjunto de direcciones MAC.

5 Escriba un nombre para el conjunto, una descripción opcional y las direcciones MAC que se incluirán en el conjunto.

6 (opcional) Si va a especificar el conjunto de direcciones MAC mediante la página Objetos de agrupamiento en la pantalla Firewall distribuido, utilice el botón de alternancia Herencia para habilitar la herencia y permitir la visibilidad en ámbitos subyacentes.

Herencia está habilitada de forma predeterminada.


VMware, Inc. 152

7 Para guardar el conjunto de direcciones MAC, haga clic en Conservar.

Resultados

El nuevo conjunto de direcciones MAC puede seleccionarse como el origen o el destino en las reglas de firewall.

Ver los servicios disponibles para las reglas de firewall mediante el portal para tenantsUtilice el portal para tenants de vCloud Director para ver la lista de servicios disponibles para su uso en reglas de firewall. En este contexto, un servicio es una combinación de un protocolo y un puerto.

Puede ver los servicios disponibles en la página Objetos de agrupamiento del portal para tenants de vCloud Director. La página Objetos de agrupamiento está disponible en las pantallas Firewall distribuido y Puerta de enlace Edge.

No se pueden agregar nuevos servicios a la lista mediante el portal para tenants. El conjunto de servicios disponibles para su uso lo gestiona el administrador del sistema de vCloud Director.

Procedimiento









3 Haga clic en la pestaña Servicios.

Resultados

Los servicios disponibles se muestran en la pantalla.

Ver los grupos de servicios disponibles para las reglas de firewall mediante el portal para tenantsUtilice el portal para tenants de vCloud Director para ver la lista de grupos de servicios disponibles para su uso en reglas de firewall. En este contexto, un servicio es una combinación de un protocolo y un puerto, mientras que un grupo de servicios incluye servicios u otros grupos de servicios.

Puede ver los grupos de servicios disponibles en la página Objetos de agrupamiento del portal para tenants de vCloud Director. La página Objetos de agrupamiento está disponible en las pantallas Firewall distribuido y Puerta de enlace Edge.


VMware, Inc. 153

No se pueden crear nuevos grupos de servicios mediante el portal para tenants. El conjunto de grupos de servicios disponibles para su uso lo gestiona el administrador del sistema de vCloud Director.

Procedimiento









3 Haga clic en la pestaña Grupos de servicios.

Resultados

Los grupos de servicios disponibles se muestran en la pantalla. La columna Descripción muestra los servicios agrupados en cada grupo de servicios.

Estadísticas y registros en el portal para tenants de vCloud DirectorSi la puerta de enlace Edge del centro de datos virtual de organización de vCloud Director se ha convertido en una puerta de enlace Edge avanzada, puede utilizar el portal para tenants de vCloud Director para ver las estadísticas y los registros de esa puerta de enlace Edge.

Ver estadísticas del portal para tenantsPuede utilizar el portal para tenants a fin de ver estadísticas en la pantalla Servicios de puerta de enlace Edge.

Procedimiento





2 Haga clic en la pestaña Estadísticas.


VMware, Inc. 154

3 Desplácese por las pestañas en función del tipo de estadísticas que desee ver.


Conexiones La pantalla Conexiones proporciona visibilidad operativa. Esta pantalla muestra gráficos sobre el tráfico que fluye en las interfaces de la puerta de enlace Edge seleccionada, así como estadísticas de conexión de los servicios de firewall y de equilibrador de carga.

Seleccione el período para el que desea ver las estadísticas.

VPN de IPsec La pantalla VPN de IPsec muestra el estado y las estadísticas de VPN de IPsec, así como el estado y las estadísticas de cada túnel.

VPN de capa 2 La pantalla VPN de capa 2 muestra el estado y las estadísticas de la VPN de capa 2.

Habilitar el registro en el portal para tenantsPuede utilizar el portal para tenants de vCloud Director con el fin de habilitar el registro en la puerta de enlace Edge avanzada. Además de habilitar el registro para las funciones de las que desea recopilar datos de registro, si desea completar la configuración, debe tener un servidor syslog para recibir los datos de registro recopilados. Cuando configura un servidor syslog en la pantalla Configuración de Edge, puede acceder a los datos registrados desde dicho servidor syslog.

Requisitos previos


Procedimiento





2 En la pestaña Configuración de Edge, haga clic en el botón Editar servidor syslog.

Puede personalizar el servidor syslog para los registros relacionados con redes de la puerta de enlace Edge para los servicios que tienen habilitado el registro.

Si el administrador del sistema vCloud Director ya ha configurado un servidor syslog para el entorno de vCloud Director, el sistema utilizará ese servidor syslog de forma predeterminada y mostrará su dirección IP en la pantalla Configuración de Edge del portal para tenants.

3 Habilite el registro para cada función.

n En la pestaña NAT, haga clic en el botón Regla DNAT y active el botón de alternancia Habilitar registro.

Registra la traducción de direcciones.


VMware, Inc. 155

n En la pestaña NAT, haga clic en el botón Regla SNAT y active el botón de alternancia Habilitar registro.

Registra la traducción de direcciones.

n En la pestaña Enrutamiento, haga clic en Configuración de enrutamiento y, en Configuración de enrutamiento dinámico, active el botón de alternancia Habilitar registro.

Registra las actividades de enrutamiento dinámico. En el menú desplegable Nivel de registro, puede seleccionar el límite inferior del nivel de estado de mensaje para registrar.

n En la pestaña Equilibrador de carga, haga clic en Configuración global y active el botón de alternancia Habilitar registro.

Registra el flujo de tráfico del equilibrador de carga. En el menú desplegable Nivel de registro, puede seleccionar el límite inferior del nivel de estado de los mensajes que desea registrar.

n En la pestaña VPN, vaya a VPN de IPSec > Configuración de registro y active el botón de alternancia Habilitar registro.

Registra el flujo de tráfico entre la subred local y una subred del mismo nivel. En el menú desplegable Nivel de registro, puede seleccionar el límite inferior del nivel de estado de mensaje para registrar.

n En la pestaña VPN-Plus de SSL, haga clic en Configuración general y active el botón de alternancia Habilitar registro.

Mantiene un registro del tráfico que pasa a través de la puerta de enlace VPN de SSL.

n En la pestaña VPN-Plus de SSL, haga clic en Configuración del servidor y active el botón de alternancia Habilitar registro.

Registra las actividades que se producen en el servidor de VPN de SSL para syslog. En el menú desplegable Nivel de registro, puede seleccionar el límite inferior del nivel de estado de los mensajes que desea registrar.

Habilitar el acceso de la línea de comandos SSH a una puerta de enlace EdgeSi la puerta de enlace Edge del centro de datos virtual de organización se ha convertido en una puerta de enlace Edge avanzada, puede usar la pantalla Configuración de Edge del portal para tenants para habilitar el acceso mediante línea de comandos SSH a la puerta de enlace Edge.

Requisitos previos



VMware, Inc. 156

Procedimiento





2 Haga clic en la pestaña Configuración de Edge.

3 Configure los ajustes de SSH.


Nombre de usuarioContraseñaVuelva a escribir la contraseña

Escriba las credenciales que se utilizarán para el acceso de SSH a esta puerta de enlace Edge. De forma predeterminada, el nombre de usuario de SSH es admin.

Caducidad de contraseña Escriba el período de caducidad de la contraseña (en días).

Titular de inicio de sesión Escriba el texto que se mostrará a los usuarios cuando inicien una conexión de SSH a la puerta de enlace Edge.

4 Active el botón de alternancia Habilitado.

Pasos siguientes

Configure las reglas de firewall o NAT que correspondan para permitir el acceso de SSH a esta puerta de enlace Edge.

Trabajar con etiquetas de seguridadLas etiquetas de seguridad son etiquetas que se pueden asociar a una máquina virtual o a un grupo de máquinas virtuales. Las etiquetas de seguridad están diseñadas para usarse con grupos de seguridad. Una vez que se crean las etiquetas de seguridad, estas se asocian a un grupo de seguridad que se puede utilizar en reglas de firewall. Puede crear, editar o asignar una etiqueta de seguridad definida por el usuario. También puede ver las máquinas virtuales o los grupos de seguridad a los que se ha aplicado una etiqueta de seguridad determinada.

Un caso de uso común para las etiquetas de seguridad consiste en agrupar objetos de forma dinámica para simplificar las reglas de firewall. Por ejemplo, puede crear varias etiquetas de seguridad diferentes en función del tipo de actividad que espera que se produzca en una máquina virtual determinada. Crea una etiqueta de seguridad para los servidores de base de datos y otra para los servidores de correo electrónico. A continuación, aplica la etiqueta adecuada a las máquinas virtuales que alojan servidores de base de datos o servidores de correo electrónico. Posteriormente, puede asignar la etiqueta a un grupo de seguridad y escribir una regla de firewall correspondiente a ella, en la que aplica una configuración de seguridad diferente dependiendo de si la máquina virtual ejecuta un servidor de base de datos o un servidor de correo electrónico. Más adelante, si cambia la funcionalidad de la máquina virtual, puede quitarla de la etiqueta de seguridad en lugar de modificar la regla de firewall.


VMware, Inc. 157

Ver las etiquetas de seguridad aplicadasPuede ver las etiquetas de seguridad aplicadas a máquinas virtuales del entorno. También puede ver las etiquetas de seguridad aplicadas a grupos de seguridad en el entorno.

Requisitos previos

Se debe haber creado una etiqueta de seguridad y debe haberse aplicado a una máquina virtual o a un grupo de seguridad.

Procedimiento





2 Vea las etiquetas asignadas en la pestaña Etiquetas de seguridad.

a Seleccione una etiqueta de seguridad para la que desea ver asignaciones y haga clic en el botón Editar.

b En Asignar/desasignar máquinas virtuales, puede ver la lista de máquinas virtuales asignadas a la etiqueta de seguridad.

3 Vea las etiquetas asignadas en la pestaña Grupos de seguridad.

a Haga clic en Objetos de agrupamiento y luego en Grupos de seguridad.

b Bajo la lista Incluir miembros, puede ver la etiqueta de seguridad asignada a un grupo de seguridad.

Resultados

Puede ver las etiquetas de seguridad existentes, así como las máquinas virtuales y los grupos de seguridad asociados. Esto puede ayudarle a determinar una estrategia de creación de reglas de firewall basadas en etiquetas de seguridad y grupos de seguridad.

Crear y asignar etiquetas de seguridadPuede crear una etiqueta de seguridad y asignarla a una máquina virtual o a un grupo de máquinas virtuales.

Cree una etiqueta de seguridad y asígnela a una máquina virtual o a un grupo de máquinas virtuales.


VMware, Inc. 158

Procedimiento





2 Haga clic en Etiquetas de seguridad.


4 Escriba un nombre y una descripción para la etiqueta de seguridad.

5 (Opcional) Asigne la etiqueta de seguridad a una máquina virtual o a un grupo de máquinas virtuales.

a En Examinar objetos del tipo, se selecciona Máquinas virtuales de forma predeterminada.

b Seleccione las máquinas virtuales del panel de la izquierda y asígnelas haciendo clic en la flecha derecha.

Las máquinas virtuales del panel de la derecha se asignan a la etiqueta de seguridad.

6 Haga clic en Conservar para guardar la etiqueta de seguridad.

Resultados

Se crea la etiqueta de seguridad y, si se ha elegido esta opción, se asigna a las máquinas virtuales seleccionadas.

Pasos siguientes

Las etiquetas de seguridad están diseñadas para funcionar con un grupo de seguridad. Para obtener más información sobre cómo crear grupos de seguridad, consulte Agregar un grupo de seguridad.

Asignar una etiqueta de seguridad a máquinas virtualesPuede asignar manualmente una etiqueta de seguridad a las máquinas virtuales.

Si ha creado las etiquetas de seguridad, puede asignarlas a las máquinas virtuales. Puede utilizar etiquetas de seguridad con el fin de agrupar máquinas virtuales para escribir reglas de firewall. Por ejemplo, puede asignar una etiqueta de seguridad a un grupo de máquinas virtuales con datos altamente confidenciales.

Procedimiento







VMware, Inc. 159

3 En la lista de etiquetas de seguridad, seleccione la etiqueta de seguridad que desea editar y haga clic en Editar.

4 Seleccione máquinas virtuales del panel de la izquierda y asígneles la etiqueta haciendo clic en la flecha derecha.

Las máquinas virtuales del panel de la derecha se asignan a la etiqueta de seguridad.

5 Seleccione máquinas virtuales del panel de la izquierda y quíteles la etiqueta haciendo clic en la flecha izquierda.

Las máquinas virtuales en el panel de la izquierda no tienen ninguna etiqueta de seguridad asignada.


Resultados

La etiqueta de seguridad se asigna a las máquinas virtuales seleccionadas.

Pasos siguientes

Las etiquetas de seguridad están diseñadas para funcionar con un grupo de seguridad. Para obtener más información sobre cómo crear grupos de seguridad, consulte Agregar un grupo de seguridad.

Editar una etiqueta de seguridadPuede editar una etiqueta de seguridad definida por el usuario.

Si cambia el entorno o la función de una máquina virtual, es aconsejable que utilice una etiqueta de seguridad diferente para que las reglas de firewall sean correctas en la nueva configuración de máquina. Por ejemplo, si tiene una máquina virtual en la que ya no almacena datos confidenciales, se aconseja asignar una etiqueta de seguridad diferente para que las reglas de firewall que se aplican a datos confidenciales ya no se ejecuten en la máquina virtual.

Procedimiento






3 En la lista de etiquetas de seguridad, seleccione la etiqueta de seguridad que desea editar y haga clic en Editar.

4 Edite el nombre y la descripción de la etiqueta de seguridad.

5 Para reasignar máquinas virtuales, use las flechas para moverlas entre los paneles izquierdo y derecho.

Las máquinas virtuales del panel de la izquierda no están asignadas, mientras que las máquinas virtuales del panel de la derecha sí lo están.


VMware, Inc. 160


Pasos siguientes

Si edita una etiqueta de seguridad, es posible que también deba editar reglas de firewall o un grupo de seguridad asociado. Para obtener más información acerca de los grupos de seguridad, consulte Trabajar con grupos de seguridad.

Eliminar una etiqueta de seguridadPuede eliminar una etiqueta de seguridad definida por el usuario.

Es aconsejable eliminar una etiqueta de seguridad si cambia la función o el entorno de la máquina virtual. Por ejemplo, si tiene una etiqueta de seguridad para bases de datos de Oracle, pero decide utilizar un servidor de base de datos diferente, puede quitar la etiqueta de seguridad para que las reglas de firewall que se aplican a las bases de datos de Oracle ya no se ejecuten en la máquina virtual.

Procedimiento






3 En la lista de etiquetas de seguridad, seleccione la etiqueta de seguridad que desea eliminar.

4 Haga clic en el botón Eliminar y luego en Aceptar para confirmar la eliminación.

Resultados

Se eliminará la etiqueta de seguridad.

Pasos siguientes

Si elimina una etiqueta de seguridad, es posible que también deba editar reglas de firewall o un grupo de seguridad asociado. Para obtener más información acerca de los grupos de seguridad, consulte Trabajar con grupos de seguridad.

.

Trabajar con grupos de seguridadUn grupo de seguridad es una colección de activos u objetos de agrupamiento, como máquinas virtuales, redes de VDC de organización o etiquetas de seguridad.


VMware, Inc. 161

Los grupos de seguridad pueden tener criterios de pertenencia dinámica basados en etiquetas de seguridad, nombre de máquina virtual, nombre de sistema operativo invitado de máquina virtual o nombre de host invitado de máquina virtual. Por ejemplo, todas las máquinas virtuales que tengan la etiqueta de seguridad “web” se agregarán automáticamente a un grupo de seguridad específico destinado a servidores web. Después de crear un grupo de seguridad, se aplica una política de seguridad a dicho grupo.

Agregar un grupo de seguridadPuede crear grupos de seguridad definidos por el usuario.

Requisitos previos

Si desea utilizar etiquetas de seguridad con grupos de seguridad, estas deben crearse antes de crear el grupo de seguridad. Para obtener información sobre cómo crear etiquetas de seguridad, consulte Asignar una etiqueta de seguridad a máquinas virtuales.

Procedimiento

1 Para iniciar Servicios de seguridad, complete los siguientes pasos.

a Haga clic en Red > Seguridad.

b Seleccione el VDC de organización al que desea aplicar la configuración de seguridad y haga clic en Configurar servicios.

El portal para tenants abrirá Servicios de seguridad.

2 Seleccione Objetos de agrupamiento > Grupos de seguridad.

Se abrirá la página Grupos de seguridad.

3 Haga clic en +.

4 Introduzca un nombre para el grupo de seguridad.

5 Introduzca una descripción significativa para el grupo de seguridad. Esta descripción se muestra en la lista de grupos de seguridad, por lo que agregar una descripción significativa puede facilitar la rápida identificación del grupo de seguridad.

6 (Opcional) Agregue un conjunto de miembros dinámicos.

a Haga clic en + en Conjuntos de miembros dinámicos.

b Seleccione Cualquiera o Todo para buscar coincidencias con cualquiera de los criterios de la instrucción o con todos ellos, respectivamente.

c Introduzca el primer objeto para el que se busca la coincidencia (Etiqueta de seguridad, Nombre de SO invitado de MV, Nombre de MV, Nombre de host invitado de MV).

d Seleccione un operador (Contiene, Comienza con o Termina con).

e Introduzca un valor.

f (Opcional) Utilice Y u O para agregar otra instrucción.


VMware, Inc. 162

7 (Opcional) Incluya miembros.

a En Examinar objetos del tipo, seleccione uno de los siguientes tipos de objetos: máquinas virtuales, redes de VDC de organización, conjuntos de direcciones IP, conjuntos de direcciones MAC o etiquetas de seguridad.

b Para incluir un objeto, selecciónelo en el panel de la izquierda y haga clic en él para colocarlo en el panel de la derecha.

8 (Opcional) Excluya miembros.


b Para excluir un objeto, selecciónelo en el panel de la izquierda y haga clic en él para colocarlo en el panel de la derecha.

Resultados

Ahora es posible utilizar el grupo de seguridad en reglas (por ejemplo, reglas de firewall).

Editar un grupo de seguridadPuede editar los grupos de seguridad definidos por el usuario.

Requisitos previos

Debe haber creado grupos de seguridad definidos por el usuario.

Procedimiento







3 Seleccione el grupo de seguridad que desea editar.

Debajo de la lista de grupos de seguridad se muestran los detalles del grupo de seguridad.

4 (Opcional) Agregue un conjunto de miembros dinámicos.

a Haga clic en + en Conjuntos de miembros dinámicos.

b Seleccione Cualquiera o Todo para buscar coincidencias con cualquiera de los criterios de la instrucción o con todos ellos, respectivamente.


VMware, Inc. 163

c Introduzca el primer objeto para el que se busca la coincidencia (Etiqueta de seguridad, Nombre de SO invitado de MV, Nombre de MV, Nombre de host invitado de MV).

d Seleccione un operador (Contiene, Comienza con o Termina con).

e Introduzca un valor.

f (Opcional) Utilice Y u O para agregar otra instrucción.

5 (Opcional) Incluya miembros.


b Para incluir un objeto, selecciónelo en el panel de la izquierda y haga clic en él para colocarlo en el panel de la derecha.

6 (Opcional) Excluya miembros.


b Para excluir un objeto, selecciónelo en el panel de la izquierda y haga clic en él para colocarlo en el panel de la derecha.

Se muestra la siguiente advertencia por encima de la lista de grupos de seguridad: Hay cambios que no se han guardado.


Se guardarán los cambios realizados en el grupo de seguridad.

Eliminar un grupo de seguridadPuede eliminar un grupo de seguridad definido por el usuario.

Procedimiento







3 Seleccione el grupo de seguridad que desea eliminar, haga clic en el botón Eliminar y luego en Aceptar.


VMware, Inc. 164

Resultados

Se eliminará el grupo de seguridad.


VMware, Inc. 165

Trabajar con catálogos 6Un catálogo es el lugar donde se guardan plantillas de vApp y archivos de medios en una organización. Los administradores de organización y los autores de catálogos pueden crear catálogos en una organización. El contenido del catálogo se puede compartir con otros usuarios u organizaciones de la instalación de vCloud Director, o bien se puede publicar de forma externa para que puedan acceder a él las organizaciones fuera de la instalación de vCloud Director.

vCloud Director contiene catálogos privados, compartidos y de acceso externo. Los catálogos privados incluyen plantillas de vApp y los archivos de medios que puede compartir con otros usuarios de la organización. Si un administrador del sistema habilita el uso compartido de catálogos para la organización, podrá compartir un catálogo de organización para crear un catálogo al que puedan acceder otras organizaciones de la instalación de vCloud Director. Si un administrador del sistema habilita la publicación externa de catálogos para la organización, puede publicar un catálogo de organización para que puedan acceder a él organizaciones fuera de la instalación de vCloud Director. Una organización fuera de la instalación de vCloud Director debe suscribirse a un catálogo publicado de forma externa para poder acceder a su contenido.

Puede cargar un paquete OVF directamente a un catálogo, guardar una vApp como una plantilla de vApp o importar una plantilla de vApp desde vSphere. Consulte Crear una plantilla de vApp desde un archivo OVF y Guardar una vApp como plantilla de vApp en un catálogo.

Los miembros de una organización pueden acceder a plantillas de vApp y a archivos de medios que son propios o que se han compartido con ellos. Los administradores de organización y administradores del sistema pueden compartir un catálogo con todos los socios de una organización o con usuarios y grupos específicos de una organización. Consulte Compartir un catálogo.


n Agregar un catálogo

n Ver un catálogo

n Compartir un catálogo

n Eliminar un catálogo

VMware, Inc. 166

Agregar un catálogoMediante el portal para tenants, puede crear catálogos y asociarlos con una política de almacenamiento.

Requisitos previos

Esta operación requiere los derechos incluidos en la función Autor de catálogo predefinida o un conjunto equivalente de derechos.

Procedimiento

1 En el menú principal ( ), seleccione Bibliotecas.

a En el panel de la izquierda, seleccione Catálogos.

La lista de catálogos se muestra en una cuadrícula.

2 Haga clic en +AGREGAR para crear un catálogo nuevo.

3 En el cuadro de diálogo Crear catálogo, introduzca el nombre y, si lo desea, una descripción del catálogo nuevo.

4 Si desea asignar una política de almacenamiento específica al catálogo, mueva el control deslizante hacia la derecha y seleccione una política de almacenamiento de la cuadrícula.

5 Haga clic en Aceptar para confirmar la creación.

Resultados

El catálogo nuevo aparecerá en la vista de cuadrícula en la pestaña Catálogos.

Ver un catálogoPuede acceder a los catálogos de su organización si se han compartido con usted. Puede acceder a los catálogos públicos si un administrador de la organización ha hecho que sean accesibles en su organización.

El acceso al catálogo se controla mediante el uso compartido de catálogos, no mediante los derechos de su función. Puede acceder únicamente a los catálogos o elementos de catálogo que se han compartido con usted. Para obtener más información, consulte Compartir un catálogo.

Procedimiento





VMware, Inc. 167


a En la vista de cuadrícula, seleccione el icono de editor de cuadrícula ( ). El icono de editor de cuadrícula aparece debajo de la lista de catálogos.

b Seleccione los elementos que desea incluir en la vista de cuadrícula haciendo clic en la casilla de verificación junto al elemento (por ejemplo, versión, descripción, estado, etc.).


La cuadrícula muestra los elementos seleccionados para cada catálogo.

3 (Opcional) En la vista de cuadrícula, use la barra de listas ( ) para mostrar las acciones que puede realizar en cada catálogo. Por ejemplo, puede compartir o eliminar un catálogo.

La barra de listas aparece a la izquierda de cada elemento de la cuadrícula.

Compartir un catálogoPuede compartir un catálogo con todos los miembros de la organización o con miembros específicos.

Requisitos previos

n Esta operación requiere los derechos incluidos en la función Autor de catálogo predefinida o un conjunto equivalente de derechos.

n Debe ser el propietario del catálogo.

Procedimiento




2 Utilice la barra de listas ( ) a la izquierda de cada elemento para mostrar las acciones que se pueden realizar para cada catálogo.

3 Seleccione Compartir para compartir un catálogo.

La lista de usuarios que pueden acceder al catálogo se muestra en la vista de cuadrícula del cuadro de diálogo Compartir catálogo.

4 Haga clic en +AGREGAR para compartir el catálogo con otros usuarios.


Cualquiera en esta organización Todos los usuarios y grupos de la organización tendrán acceso a este catálogo.

Usuarios y grupos específicos Seleccione los usuarios o los grupos a los que desea otorgar acceso al catálogo y haga clic en +AGREGAR.


VMware, Inc. 168

5 Seleccione el nivel de acceso de los usuarios con acceso a este catálogo en el menú desplegable.


Solo lectura Los usuarios que pueden acceder a este catálogo tienen acceso de lectura a las plantillas de vApp y las imágenes ISO del catálogo.

Leer/escribir Los usuarios que pueden acceder a este catálogo tienen acceso de lectura a las plantillas de vApp y las imágenes ISO del catálogo, y pueden agregar al catálogo plantillas de vApp e imágenes ISO.

Control total Los usuarios con acceso a este catálogo tienen control total sobre el contenido y la configuración del catálogo.

6 Haga clic en Aceptar para guardar los cambios.

El usuario o el grupo que ahora puede acceder al catálogo aparece en la vista de cuadrícula del cuadro de diálogo Compartir catálogo.

Resultados

En la pestaña Catálogos, cambiará el estado Compartido de este catálogo en la vista de cuadrícula.

Eliminar un catálogoPuede eliminar un catálogo de una organización.

Requisitos previos


Nota El catálogo no debe contener plantillas de vApp ni archivos de medios. Puede mover estos elementos a otro catálogo o eliminarlos.

Procedimiento




2 Utilice la barra de listas ( ) a la izquierda de cada elemento para mostrar las acciones que se pueden realizar para cada catálogo.

3 Seleccione Eliminar para eliminar el catálogo.

4 Confirme la eliminación.

El elemento de catálogo eliminado se quitará de la vista de cuadrícula.


VMware, Inc. 169

Trabajar con plantillas de vApp 7Una plantilla de vApp es una imagen de máquina virtual cargada con un sistema operativo, aplicaciones y datos. Estas plantillas garantizan que las máquinas virtuales estén configuradas correctamente en toda la organización. Las plantillas de vApp se añaden a los catálogos.


n Abrir una plantilla de vApp

n Crear una plantilla de vApp desde un archivo OVF

n Descargar una plantilla de vApp

n Eliminar una plantilla de vApp

Abrir una plantilla de vAppPuede ver la lista de plantillas de vApp disponibles en los catálogos a los que tiene acceso. Puede abrir una plantilla de vApp para obtener más información acerca de las máquinas virtuales que contiene.

Puede acceder solo a las plantillas de vApp que se incluyen en los elementos de catálogo que se han compartido con usted. Para obtener más información acerca del uso compartido de catálogos, consulte Compartir un catálogo.

Requisitos previos


Procedimiento


La lista de plantillas se muestra en una cuadrícula.

VMware, Inc. 170


a En la vista de cuadrícula, seleccione el icono de editor de cuadrícula ( ). El icono de editor de cuadrícula se muestra debajo de la lista de plantillas de vApp.

b Seleccione los elementos que desea incluir en la vista de cuadrícula haciendo clic en la casilla de verificación junto al elemento (por ejemplo, estado, catálogo, propietario, etc.).


La cuadrícula muestra los elementos seleccionados para cada plantilla de vApp.

3 Haga clic en una plantilla de vApp para abrirla.

Las máquinas virtuales que se incluyen en la plantilla de vApp se muestran en una cuadrícula.

4 (opcional) Haga clic en el icono de editor de cuadrícula ( ) debajo de la lista de máquinas virtuales para seleccionar los elementos que desea incluir en la vista de cuadrícula.

Crear una plantilla de vApp desde un archivo OVFPuede cargar un paquete OVF para crear una plantilla de vApp en un catálogo.

vCloud Director admite la especificación del formato de virtualización abierto (OVF, Open Virtualization Format). Si carga un archivo OVF que incluya propiedades OVF para personalizar sus máquinas virtuales, dichas propiedades se conservarán en la plantilla de vApp. Para obtener más información acerca de la creación de paquetes OVF, consulte la Guía del usuario de herramientas OVF y la Guía del usuario de VMware vCenter Converter.

Requisitos previos


Procedimiento



2 Haga clic en +AGREGAR para cargar un paquete OVF como una plantilla de vApp.


3 Siga los pasos del asistente Crear plantilla de vApp a partir de OVF.

Paso Detalles

Seleccionar origen Haga clic en el icono de carga ( ) para buscar y seleccionar el archivo de plantilla OVF.

Nota Las extensiones de archivo admitidas incluyen .ova, .ovf, .vmdk, .mf, .cert y .strings.

Revisar detalles Compruebe los detalles de la plantilla OVF que implementará.


VMware, Inc. 171

Paso Detalles

Seleccionar nombre de plantilla de vApp

Escriba un nombre y, si lo desea, una descripción para la plantilla de vApp.

En el menú desplegable Catálogo, seleccione el catálogo al que desea agregar la plantilla.

Listo para completar Revise la configuración que ha especificado para la plantilla de vApp y haga clic en Finalizar para completar la creación.

Resultados

La nueva plantilla de vApp aparecerá en la vista de cuadrícula de plantillas.

Descargar una plantilla de vAppPuede descargar una plantilla de vApp desde un catálogo como un archivo OVF en la máquina local.

Requisitos previos


Procedimiento



2 Haga clic en la barra de listas ( ) a la izquierda de cada elemento para mostrar las acciones que se pueden realizar para cada plantilla de vApp.

3 Haga clic en Descargar.

Nota Puede descargar las plantillas de vApp de los catálogos de su organización o, si es administrador de organización, de un catálogo público. De lo contrario, el botón Descargar está atenuado.

Se abre el cuadro de diálogo Descargar plantilla de vApp.

4 (opcional) Seleccione Proteger información de identidad para incluir los UUID y las direcciones MAC de las máquinas virtuales de la vApp en el paquete OVF descargado.

5 Haga clic en Aceptar y espere hasta que finalice la descarga.

El archivo OVF se guarda en la ubicación de descarga predeterminada del navegador web.

Eliminar una plantilla de vAppPuede eliminar una plantilla de vApp de un catálogo de organización. Si el catálogo está publicado, la plantilla de vApp también se eliminará de los catálogos públicos.


VMware, Inc. 172

Requisitos previos


Procedimiento



2 Haga clic en la barra de listas ( ) a la izquierda de cada elemento para mostrar las acciones que se pueden realizar para cada plantilla de vApp.

3 Haga clic en Eliminar.


La plantilla de vApp eliminada se quitará de la vista de cuadrícula.


VMware, Inc. 173

Trabajar con archivos de medios 8Un catálogo permite cargar, copiar, mover o editar las propiedades de los archivos de medios.


n Cargar archivos de medios

n Eliminar un archivo de medios

n Descargar un archivo de medios

Cargar archivos de mediosPuede cargar en un catálogo nuevos archivos de medios o versiones nuevas de los archivos de medios existentes. Los usuarios con acceso al catálogo pueden abrir los archivos de medios con sus máquinas virtuales.

Requisitos previos


Procedimiento


a En el panel izquierdo, seleccione Medios y otros.

La lista de archivos de medios se muestra en una cuadrícula.

2 Haga clic en +Agregar para agregar un nuevo archivo de medios a un catálogo.

Se abrirá el cuadro de diálogo Cargar medios.

3 En el menú desplegable Catálogo, seleccione el catálogo al que desea cargar el archivo de medios.

4 Introduzca un nombre para el archivo de medios.

Si no introduce un nombre, el cuadro de texto de nombre se rellenará automáticamente con el nombre del archivo de medios.

5 Haga clic en el icono de carga ( ) para examinar y seleccionar el archivo de imagen de disco (por ejemplo, un archivo .iso).

VMware, Inc. 174

6 Haga clic en Aceptar para completar la carga.

Cuando se inicie la carga, el archivo de medios aparecerá en la cuadrícula.

Pasos siguientes

En función del tamaño del archivo, la carga podría tardar en completarse. Puede supervisar el estado de la carga en la vista Tareas recientes. Para obtener más información, consulte Ver tareas.

Eliminar un archivo de mediosPuede eliminar archivos de medios de un catálogo.

Requisitos previos


Procedimiento




2 Haga clic en la barra de listas ( ) a la izquierda de cada elemento para mostrar las acciones que se pueden realizar para cada archivo de medios.

3 Haga clic en Eliminar.


El archivo de medios eliminado se quitará de la vista de cuadrícula.

Descargar un archivo de mediosPuede descargar un archivo de medios desde un catálogo.

Requisitos previos


Procedimiento





VMware, Inc. 175

2 Haga clic en la barra de listas ( ) a la izquierda de cada elemento para mostrar las acciones que se pueden realizar para cada archivo de medios.

3 Haga clic en Descargar.

La tarea de descarga se inicia automáticamente y el archivo se guarda en la ubicación de descarga predeterminada del navegador web.

Pasos siguientes

En función de cuál sea el tamaño del archivo, esta descarga podría tardar algún tiempo en completarse. Puede supervisar el estado de la carga en la vista Tareas recientes. Para obtener más información, consulte Ver tareas.


VMware, Inc. 176

Trabajar con varios sitios 9La función multisitio de vCloud Director permite a un proveedor de servicios o a un tenant de varias instalaciones (grupos de servidores) de vCloud Director distribuidas geográficamente administrar y supervisar dichas instalaciones y sus organizaciones como entidades únicas.

El portal para tenants de vCloud Director ofrece a los administradores de organización una manera de asociar organizaciones en sitios asociados.

Para obtener más información sobre las asociaciones de sitios, consulte la Guía del administrador de vCloud Director.


n Configurar y administrar implementaciones multisitio

Configurar y administrar implementaciones multisitioDespués de que un administrador del sistema haya asociado dos sitios, los administradores de organización de cualquier sitio miembro pueden empezar a asociar sus organizaciones.

Para crear una asociación entre dos organizaciones (denominadas Org-A y Org-B en este documento), debe ser administrador de organización de ambas organizaciones, de modo que pueda iniciar sesión en cada organización, recuperar los datos de asociación local y enviar esos datos a la otra organización.

Importante El proceso de asociación de dos organizaciones se puede desglosar lógicamente en dos operaciones de emparejamiento complementarias. La primera operación (en este ejemplo) empareja Org-A en el sitio A con Org-B en el sitio B. Posteriormente, debe emparejar Org-B en el sitio B con Org-A en el sitio A. La asociación estará incompleta si no se realizan ambos emparejamientos.

Requisitos previos

n Los sitios ocupados por las organizaciones deben estar asociados.

n Debe ser un administrador del sistema en ambos sitios o un administrador de organización en ambas organizaciones.

VMware, Inc. 177

Procedimiento

1 Inicie sesión en Org-A en el sitio A y recupere los datos de asociación local.

Haga clic en Administración. En la pestaña Multisitio, haga clic en EXPORTAR DATOS DE ASOCIACIÓN LOCAL para descargar los datos en formato XML. El navegador guarda los datos en un archivo en la carpeta Descargas.

2 Inicie sesión en Org-B en el sitio B y envíe los datos de asociación local de Org-A en el sitio A.

a Haga clic en Administración. En la pestaña Multisitio, haga clic en CREAR NUEVA ASOCIACIÓN DE ORGANIZACIÓN.

Introduzca los datos de asociación que ha descargado en el Paso paso 1 haciendo clic en la flecha arriba situada debajo de la ventana XML de asociación nueva y seleccione los datos de asociación local que ha descargado en el Paso paso 1.

b Haga clic en Siguiente para comprobar y enviar los datos.

El sistema empareja Org-A en el sitio A con Org-B en el sitio B. Haga clic en Finalizar para ver la organización asociada. Para ver los detalles de la organización asociada o eliminar la asociación, haga clic en la tarjeta Nombre de organización.

Pasos siguientes

La asociación no se puede utilizar hasta que se repita este procedimiento con las modificaciones necesarias para recuperar los datos de asociación local de Org-B y enviarlos a Org-A. De esta forma se completará la asociación.


VMware, Inc. 178

Trabajar con Biblioteca de servicios 10Los elementos de Biblioteca de servicios de vCloud Director son flujos de trabajo de vRealize Orchestrator que amplían las capacidades de administración de la nube y permiten a los administradores de los proveedores o los tenants supervisar y manipular diferentes servicios.


n Buscar un servicio

n Ejecutar un servicio

Buscar un servicioEn la página Biblioteca de servicios del portal para tenants de vCloud Director se muestra el conjunto de flujos de trabajo de vRealize Orchestrator que se han importado en vCloud Director y se han publicado en la organización.

Requisitos previos

Esta operación requiere que los derechos de la biblioteca de servicios se incluyan en la función de usuario predefinida.

Procedimiento


a En el panel de la izquierda, seleccione Biblioteca de servicios.

La lista de servicios se muestra en una vista de tarjeta con doce elementos por página, organizados por nombre en orden alfabético. Cada tarjeta muestra el nombre del servicio y una etiqueta que se corresponde con la categoría del servicio donde se importa vRealize Orchestrator.

2 En el cuadro de texto Buscar que se encuentra en la parte superior de la página, introduzca la primera palabra del nombre del servicio o el nombre de la categoría a la que pertenece el servicio.

a Determine si desea buscar en los nombres del servicio o en las categorías.

Los resultados de la búsqueda se muestran en una vista de tarjetas con doce elementos por página organizados por nombre y en orden alfabético.

VMware, Inc. 179

Ejecutar un servicioLos servicios se pueden ejecutar desde la página Biblioteca de servicios del portal para tenants de vCloud Director.

Requisitos previos

Esta operación requiere que los derechos de la biblioteca de servicios se incluyan en la función de usuario predefinida.

Procedimiento


a En el panel de la izquierda, seleccione Biblioteca de servicios.

La lista de servicios se muestra en una vista de tarjeta con doce elementos por página, organizados por nombre en orden alfabético. Cada tarjeta muestra el nombre del servicio y una etiqueta que se corresponde con la categoría del servicio donde se importa vRealize Orchestrator.

2 Busque el servicio que desea ejecutar.

3 Haga clic en Ejecutar en la tarjeta del servicio.

Se abrirá un cuadro de diálogo nuevo. Debe introducir valores para los parámetros de entrada necesarios del servicio.

4 Haga clic en Finalizar para confirmar la ejecución del servicio.

Pasos siguientes

Puede supervisar el estado de la ejecución en la vista Tareas recientes. Para obtener más información, consulte Ver tareas.


VMware, Inc. 180

Trabajar con definiciones de entidad personalizada 11Las definiciones de entidad personalizada de vCloud Director son tipos de objeto enlazados a tipos de objeto de vRealize Orchestrator. Los usuarios en una organización de vCloud Director pueden poseer, administrar y cambiar dichos tipos en función de sus necesidades. Mediante la ejecución de los servicios, los usuarios de la organización pueden crear instancias de las entidades personalizadas y aplicar acciones a las instancias de los objetos.


n Buscar una entidad personalizada

n Editar una definición de entidad personalizada

n Agregar una definición de entidad personalizada

n Instancias de entidades personalizadas

n Asociar una acción a una entidad personalizada

n Anular la asociación de una acción de una entidad personalizada

n Publicar una entidad personalizada

n Eliminar una entidad personalizada

Buscar una entidad personalizadaPuede buscar esas entidades personalizadas que se han publicado en la organización.

Requisitos previos

Esta operación requiere que los derechos de la entidad personalizada se incluyan en la función de usuario predefinida.

Procedimiento


a En el panel de la izquierda, seleccione Definiciones de entidades personalizadas.

VMware, Inc. 181

La lista de entidades personalizadas se muestra en una vista de tarjetas con doce elementos por página organizados por nombre y en orden alfabético. Cada tarjeta muestra el nombre de la entidad personalizada, el tipo de vRealize Orchestrator al que se ha asignado la entidad, el tipo de la entidad y una descripción, si hay una disponible.

2 En el cuadro de texto Buscar de la parte superior de la página, introduzca una palabra o un carácter del nombre de la entidad que desea buscar.

Los resultados de la búsqueda se muestran en una vista de tarjetas con doce elementos por página organizados por nombre y en orden alfabético.

Editar una definición de entidad personalizadaPuede modificar el nombre y la descripción de una entidad personalizada. No es posible modificar el tipo de la entidad o el tipo de objeto de vRealize Orchestrator, al cual esté enlazada la entidad. Son las propiedades predeterminadas de la entidad personalizada. Si desea modificar cualquiera de las propiedades predeterminadas, debe eliminar la definición de entidad personalizada y volver a crearla.

Requisitos previos


Procedimiento




2 En la tarjeta de la entidad personalizada seleccionada, elija Acciones > Editar.


3 Modifique el nombre o la descripción de la definición de entidad personalizada.

4 Haga clic en Aceptar para confirmar el cambio.

Agregar una definición de entidad personalizadaPuede crear una entidad personalizada y asignarla a un tipo de objeto de vRealize Orchestrator existente.

Requisitos previos



VMware, Inc. 182

Procedimiento




2 Haga clic en el icono para agregar una nueva entidad personalizada.


3 Siga los pasos del asistente de definición de entidad personalizada.

Paso

Nombre y descripción

Introduzca un nombre y, si lo desea, una descripción para la nueva entidad.

Introduzca un nombre para el tipo de entidad (por ejemplo, sshHost).

VRO En el menú desplegable, seleccione la instancia de vRealize Orchestrator que va a utilizar para asignar la definición de entidad personalizada.

Nota Si hay más de un servidor de vRealize Orchestrator, debe crear una definición de entidad personalizada para cada uno de ellos de manera independiente.

Tipo Haga clic en el icono de la lista de vistas ( ) para desplazarse por los tipos de objeto de vRealize Orchestrator disponibles agrupados por complementos. Por ejemplo, SSH > Host.Si conoce el nombre del tipo, puede introducirlo directamente en el cuadro de texto. Por ejemplo, SSH:Host.

Revisar Revise los detalles que ha especificado y haga clic en Listo para completar la creación.

Resultados

La nueva definición de entidad personalizada aparecerá en la vista de tarjetas.

Instancias de entidades personalizadasLa ejecución de un flujo de trabajo de vRealize Orchestrator con un parámetro de entrada que sea un tipo de objeto que ya esté definido como una definición de entidad personalizada en vCloud Director muestra el parámetro de salida como una instancia de una entidad personalizada.

Requisitos previos



VMware, Inc. 183

Procedimiento




2 En la tarjeta de la entidad personalizada seleccionada, haga clic en Instancias.

Las instancias disponibles se mostrarán en una vista de cuadrícula.

3 Haga clic en la barra de listas ( ) que se encuentra a la izquierda de cada entidad para mostrar los flujos de trabajo asociados.

Al hacer clic en un flujo de trabajo, se iniciará una ejecución de flujo de trabajo que tomará la instancia de la entidad como un parámetro de entrada.

Asociar una acción a una entidad personalizadaMediante la asociación de una acción a una definición de entidad personalizada, puede ejecutar un conjunto de flujos de trabajo de vRealize Orchestrator en las instancias de una entidad personalizada específica.

Requisitos previos


Procedimiento




2 En la tarjeta de la entidad personalizada seleccionada, elija Acciones > Asociar acción.



VMware, Inc. 184

3 Siga los pasos del asistente de asociación de una entidad personalizada a un flujo de trabajo de VRO.

Paso Detalles

Seleccionar flujo de trabajo de VRO

Seleccione uno de los flujos de trabajo enumerados. Estos son los flujos de trabajo disponibles en la página Biblioteca de servicios.

Seleccionar parámetro de entrada de flujo de trabajo

Seleccione un parámetro de entrada disponible de la lista. El tipo de flujo de trabajo de vRealize Orchestrator se asocia al tipo de definición de entidad personalizada.

Revisar asociación Revise los detalles que ha especificado y haga clic en Listo para completar la asociación.

Ejemplo

Por ejemplo, si dispone de una entidad personalizada del tipo SSH:Host, puede asociarla al flujo de trabajo Add a Root Folder to SSH Host seleccionando el parámetro de entrada sshHost, el cual coincide con el tipo de la entidad personalizada.

Anular la asociación de una acción de una entidad personalizadaPuede quitar un flujo de trabajo de vRealize Orchestrator de la lista de acciones asociadas.

Requisitos previos


Procedimiento




2 En la tarjeta de la entidad personalizada seleccionada, elija Acciones > Anular asociación de acción.


3 Seleccione el flujo de trabajo que desea quitar y haga clic en Anular asociación de acción.

El flujo de trabajo de vRealize Orchestrator dejará de estar asociado a la entidad personalizada.


VMware, Inc. 185

Publicar una entidad personalizadaDebe publicar una entidad personalizada para que los usuarios de otros tenants u otros proveedores de servicios puedan ejecutar flujos de trabajo usando las instancias de la entidad personalizada como parámetros de entrada.

Requisitos previos


Procedimiento




2 En la tarjeta de la entidad personalizada seleccionada, elija Acciones > Publicar.


3 Determine si desea publicar la definición de entidad personalizada en los proveedores de servicios, en todos los tenants, o solo en los tenants seleccionados.

4 Haga clic en Guardar para confirmar el cambio.

La definición de entidad personalizada estará disponible para las partes seleccionadas.

Eliminar una entidad personalizadaPuede eliminar una definición de entidad personalizada si la entidad personalizada ya no se usa, si esta se ha configurado de forma incorrecta o si desea asignar el tipo de vRealize Orchestrator a otra entidad personalizada.

Requisitos previos


Procedimiento




VMware, Inc. 186


2 En la tarjeta de la entidad personalizada seleccionada, elija Acciones > Eliminar.


La entidad personalizada se eliminará de la vista de tarjetas.


VMware, Inc. 187

vmware cloud director 9...importar el certificado firmado por ca correspondiente a la solicitud csr...

Documents